SME pour petits réseaux

[jibe]

Salut,

Suite au débat initié dans ce topic, puis continué dans cet autre, en voici un troisième dont l'objectif est de rester clair et concret pour les cas - largement majoritaires - où il n'y a pas une personne réellement capable d'élaborer une architecture en adéquation avec les besoins classiques d'une petite entreprise ou d'un réseau domestique.

Le fameux débat (troll ?) SME avec ou sans Ipcop a en effet laissé sur leur faim deux catégories de personnes :
- Celles dont la sécurité informatique n'est pas la spécialité, et qui sont encore plus sceptiques (dégoutés pour certains ) après lecture de centaines de posts,
- Celles dont la sécurité informatique est la spécialité, la passion ou la simple curiosité, et qui ne parviennent pas à comprendre ma position qu'ils trouvent coupablement réductrice.

Nous discuterons donc ici de la SME dans le cadre d'une petite entreprise, dont les moyens humains et financiers sont relativement réduits, et dont les besoins en sécurité ne sont pas extraordinaires. Les solutions débattues seront donc réduites au strict nécessaire - dans la plupart des cas, une simple SME en frontal sur le web. Pour ceux qui, quelqu'en soit la raison, veulent en savoir plus, un autre topic sera ouvert et dont je donnerai l'adresse ici même.

En effet, il faut avoir bien conscience que SME a fait sa spécialité de la sécurité des petits réseaux. Elle apporte une solution très économique tant au niveau financier qu'au niveau humain tout en offrant un niveau de sécurité plus que largement suffisant dans la plupart des cas. Si on a besoin ou envie d'aller plus loin, il faut savoir que les moyens à mettre en oeuvre sont sans commune mesure. Non seulement on va multiplier les machines, mais on va devoir maitriser parfaitement plusieurs aspects de l'informatique (si on ne maitrise pas suffisemment, gare aux trous de sécurité : l'immense majorité se situent entre la chaise et l'écran de l'architecte/admin réseau !).

On a donc tout intérêt à faire une bonne adéquation entre ses besoins (qu'il est nécessaire de bien évaluer) et les moyens mis en oeuvre. Et ce faisant, il ne faut pas oublier que la sécurité ne se résume pas qu'à l'architecture réseau, mais à tout un tas d'autres facteurs tels que la protection physique, la formation/éducation des utilisateurs, et bien d'autres choses dont j'avais parlé dans ce post.

Ceux qui veulent comprendre un peu comment fonctionne et comment réaliser simplement un petit réseau informatique peuvent se reporter à ce document. Pour ceux qui veulent aller plus loin, il y a le célèbre internet rapide et permanent qui reste accessible aux non-spécialistes, et même aux débutants pour peu qu'ils soient motivés.

Et pour finir en résumant je pense assez bien mon avis sur la bonne façon d'utiliser SME, je dirais que si vous êtes capable de lire et comprendre "l'internet rapide et permanent", faites ce que vous voulez. Si vous avez l'impression d'en savoir déjà beaucoup à la fin de la lecture de mon tuto, contentez-vous d'une SME seule dans une architecture simplifiée.

[Edit]Correction lien sur tuto Réseaux pour TPE [/Edit]

[jibe]

Pour n'en prendre qu'un, voici le genre de post que je vois tous les jours ou presque et qui justifient de crier haut et fort que la SME est faite avant tout pour être utilisée seule en frontal sur le web.

Cela n'empêche pas un débat sur la sécurité... En un autre lieu, pour ne pas créer la confusion entre les solutions simples aux problèmes simples et le débat d'experts. Les deux ont leur place et leur raison d'être sur Ixus.

[jibe]

Salut,

La question SME derrière une box est inévitablement récurrente et délicate. En effet, si certaines *box permettent un mode bridge tout en laissant l'accès à la téléphonie+TV, d'autres doivent obligatoirement rester en mode routeur pour que le téléphone fonctionne. Et on se retrouve dans le cas que je déconseille, à savoir une SME derrière un routeur (et souvent un routeur de très basse qualité, difficile à paramétrer).

Je pense qu'il faut regarder les choses en face : on ne peut pas avoir le beurre et l'argent du beurre... Si on veut le téléphone + une SME, il va falloir en payer le prix...

Personnellement, je suis partisan de n'avoir qu'un modem tout simple (ou une box en mode bridge ce qui revient au même) entre la SME et le net. Pour la raison bien simple que paramétrer un ensemble de double passerelle/routeur/firewall est complexe et demande des connaissances approfondies en matière de réseaux.

Le dépannage de tels réseaux via un forum est extrèmement difficile si celui qui le gère ne sait pas parfaitement ce qu'il fait et de quoi il parle. C'est mon expérience, et cela peut se voir dans les innombrables posts sur Ixus et d'autres forums à propos de questions de mise au point d'associations Ipcop+SME ou *box+SME.

Donc, pour moi, la règle de base est : La SME doit être en frontal sur le net, derrière un simple modem ou une box configurée en bridge. C'est ce pourquoi elle est faite, c'est ainsi qu'elle peut être mise en route sans connaissances spéciales. Les autres cas doivent être réservés aux spécialistes ou au moins à ceux qui ont conscience des difficultés - et donc des coûts - que cela entrainera.

Libre à ceux qui veulent faire autrement de le faire : je n'ai rien contre les bricoleurs, c'est en bricolant qu'on apprend bien souvent. Mais il faut qu'ils sachent où ils mettent les pieds : il va y avoir beaucoup de recherche personnelle. Je n'interviens sur de tels montages que lorsque tout est bien clair : très souvent, le gars ne sachant pas tout oublie de nous donner certains détails importants, et tout le monde perd son temps et parfois s'énerve. Les forums ne sont pas un moyen d'avoir de l'assistance gratuite, mais un lieu d'échange de connaissances. Il y a une énorme nuance que certains semblent ne pas saisir, oublier... ou refuser de voir.

Donc, si pour une raison quelconque une SME doit se trouver derrière une box en mode routeur, il faut soit se documenter personnellement sur ce qu'il y a lieu de faire selon les services dont on a besoin (donc commencer par passer beaucoup de temps à apprendre avant que la SME soit opérationnelle), soit demander à quelqu'un de compétent d'intervenir sur place, ce qui peut effectivement avoir un certain coût... Si on ne veut ni l'un ni l'autre, il faut prendre un abonnement ADSL permettant ce qu'on veut faire (téléphonie + box en mode bridge). Donc étudier de très près les offres des FAI et les possibilités de leurs *box.

Loin de moi l'idée de faire croire que l'informatique est une chose compliquée réservée à des spécialistes. Ce n'est pas si compliqué que ça ne puisse s'apprendre, et ne n'est certainement pas réservé à une élite. Mais c'est réservé à ceux qui ont conscience que l'à-peu-près et le tout gratuit ont leurs limites, de même que ce que les vendeurs tentent de faire croire (c'est leur métier de vous dire que c'est simple et de vous piéger dans leur système de SAV/hotline !) et que les magazines du tabac du coin ne sont pas toujours science exacte...

[tomtom]

Salut,


Je suis d'accord.

Dans le cas où l'on est obligé d'utiliser le mode routeur, je pense que la meilleure chose à faire est d'utiliser le paramètre "DMZ" de la box et de le configurer pour faire pointer vers l'adresse IP externe de la SME.
Cela désactive d'une manière générale les paramètres de filtrage en revoyant tous les paquets vers la SME, bien que ça laisse en marche la fonction de NAT qui peut être source ce problèmes...


t.

[jibe]

[Edit]
Lorsque j'ai écrit ce post, je n'avais pas vraiment compris ce que voulait dire tomtom. En fait, au moins pour la Freebox, le montage de tomtom est plus astucieux et universel (quels que soient les services installés sur SME).
Les précisions sont discutées dans les posts qui suivent.

Les remarques et configurations que j'indique ci-dessous peuvent malgré tout être utiles dans le cas de *box n'ayant pas le même style de DMZ que FreeBox...
[/Edit]

C'est une idée qui se défend... jusqu'à un certain point En effet, il ne faut pas oublier que la SME offre aussi des services LAN. L'imprimante dans la DMZ, c'est pas le mieux (et je ne parle pas de Samba ! ou alors, il faut adopter ce schéma*** )

Par contre, comme certains ne se servent que des serveurs mail et web, dans ce cas c'est effectivement le mieux.

Je dirais donc :
- Si vous n'utilisez que des services orientés Web : DMZ
- Si vous n'utilisez que des services orientés LAN : Passerelle entre *box et LAN sans redirection de ports
- Si vous utilisez un peu des deux : Passerelle entre *box et LAN avec redirection des ports nécessaires aux services utilisés.

*** Attention : comprenez tous bien qu'il s'agit d'une plaisanterie et que, comme c'est d'ailleurs bien indiqué, ce schéma est à fuir absolument !

[tomtom]

Heu j'ai un peu de mal à comprendre ton commentaire.


Dans tous les cas, je préconiserai un montage comme ça (toujours dans le cas où le mode routeur est inévitable !) :

Code: Tout sélectionner


Internet -- *BOX -- SME mode passerelle -- green
                                   |
                                éventuellement DMZ...



En utilisant le paramètre DMZ des box et en envoyant tout ce qui rentre vers l'@IP de la SME, elle recevra absolument tout et le comportement sera très peu différent de ce qu'on aurait avec le mode bridge (au nat près sur la box).


t.

[jibe]

Je crois que moi aussi je n'avais pas tout compris !

Parle-t-on d'un schéma de ce type :

Internet --- Box (sortie DMZ) ---- SME ----- LAN

?

Je n'ai jamais bien regardé comment les *box faisaient leur DMZ. Mais si effectivement elles redirigent tout sans restriction sur leur DMZ, c'est effectivement excellent comme montage pour la SME !

[tomtom]

La freebox fait ça en tout cas....

Je ne sais pas pour les autres.


Il n'y a pas de "sortie DMZ" à proprement parler.
C'est juste un paramètrage logiciel : @ip de la DMZ...


t.

[jibe]

Ok, merci pour cette précision !

Je laisse donc mon post précédent, valable dans le cas où la DMZ ne serait pas exploitable de la même façon que sur FreeBox. Mais lorsque c'est le cas, effectivement on peut mettre la SME en DMZ et en passerelle vers le LAN (ça me fait quand même bizarre d'écrire ça ) quels que soient les services qu'elle supporte.

[GawiNDX]

Bonjour à tous!

Je me permets de rajouter mon grain de sel dans la discussion même si elle commence à dater un peu.
il est à noter que quelque soit la solution retenue pour la sécurité (SME frontal ou dérriére un firewall), si vous voulez faire passez un vpn ipsec vers votre LAN vous avez tout interet à mettre l'IP de votre premiére passerelle dans la DMZ, en effet, certaines ont beau être stipulé "VPN pass-throught", elles sont totalement incapable de router le protocole GRE autrement que par une DMZ (où alors j'ai raté une étape quelque part). Une *box dont je peux affirmer qu'elle posséde ce défaut est ..... la Livebox (sous sa forme inventel normale ou Pro, la sagem j'ai pas eu le "bonheur" de tester et pour les autres *box non plus)

[gilgalad]

Bonjour ixus!

je me permets de déposer une petite remarque sur ce forum: il est possible simplement d'avoir une box devant un SME:

freebox: tant que le compte n'est pas positionné en mode routeur: tout ce qui est en direction de la wan freebox est acheminée sur la machine qui est connectée sur la freebox ( donc la wan de la sme... ) dès lors tout fonctionne comme si de rien n'était si ce n(est qu'il y a une NAT supplémentaire ) et comme la freebox obtient une ip wan fixe... c'est pas difficile de la retrouver sur internet, voire de l'enregistrer sur un serveur DNS

livebox: c'est légèrement plus compliqué car la livebox est d'office en mode routeur...MAIS une petite astuce: mettre sur la wan sme une adresse ip fixe comptatible avec le LAN livebox, puis dans la livebox, mettre l'adresse wan SME en DMZ ce qui veut dire que toute requete wan livebox non résolue seront acheminées vers l'interface wan SME; dès lors, à la SME de jouer. pour la localisation sur internet, il y a deux solutions: la livebox peut s'enregistrer sur dyndns ou on peut acheter un abonnement pro avec ip wan fixe... c'est une question de choix. Dernière possibilité sur la livebox: le forwarding des ports: il est alors aisé de dire quels ports sont retransmis ( forwardés ) vers quelle machine ( dans ce cas, la SME )

voili voilou, pour les autres fournisseurs j'ai pas d'expèrience, alors dans ce cas: MODEM! direct sur la SME

BYE

[jibe]

Salut,

Oui... Mais quelle version de FreeBox (il n'y a pas très longtemps, j'étais personnellement en IP dynamique avec ma V4...) et quelle version de Livebox ?

A noter que dans le document mentionné plus haut, j'ai un chapitre sur les *box depuis le 3 Février 2008

[remi]

Salut Jibe,

L'adresse IP fixe est liée au dégroupage ou non de la ligne (en tout cas chez Free).


Rémi

[jibe]

Salut Rémi,

Oui, tu as raison. A cette petite nuance près qu'un non-dégroupé peut demander une IP fixe.

Ma question avait surtout pour but de m'informer sur la validité des infos portées dans ma doc, et de savoir s'il y avait lieu de compléter et/ou de préciser.

[jibe]

SCHEMAS

Salut,

Problème bien posé est à moitié résolu, dit le proverbe. Pour parler réseaux, un schéma est indispensable. Ceux qui le désirent peuvent utiliser librement (mais merci de stocker ailleurs pour ne pas bouffer ma bande passante déjà bien chargée) les schémas de mon document sur les réseaux pour TPE. Exceptionnellement pour les membres d'Ixus, et contrairement à ce que dit la GFDL, j'autorise l'utilisation et la modification de ces schémas sans aucune mention de l'auteur (bien que j'apprécierai beaucoup si c'est fait malgré tout ).