Salut,
Me revoici donc, à titre exceptionnel
Que dire de plus, si ce n'est insister à nouveau sur le fait que sécurité maximum me semble incompatible avec coûts minimum. C'est l'histoire du beurre et de l'argent du beurre (je pense que tu connais cette expression française, HadaDeLaLuna) !
Cela dit, je comprends que le choix soit cornélien et je reconnais tout à fait la légitimité de ta question
Je ne peux malheureusement guère faire plus que donner quelques pistes :
- FreeEOS n'intègre pas (malheureusement !) de serveur radius. Je n'ai pas étudié la question, mais à priori je ne pense pas (malheureusement encore !) qu'il soit simple à ajouter (noyau 2.2, base SME 5.5/RH 7.3)... Peut-être pourrait-il être mis sur le PC fixe ? Mais dans ce cas, il devrait fonctionner 24h/24...
- CPL me parait une assez bonne solution malgré tout (si c'est possible, mais à priori contrairement à l'idée répandue les compteurs ne sont pas un obstacle - tout au moins les compteurs électroniques actuels, moins sûr pour les anciens compteurs électromagnétiques - par contre les transformateurs le sont). On ne gagne rien en sécurité, par contre je dirais qu'on y gagne gros en risques : une intrusion via wifi est aisée et tentante puisque le réseau est visible de tout autre équipement wifi, qui donc aura connaissance de la liaison CPL et pourra en tirer profit ? Le risque existe toujours, mais est bien moindre !
- A condition de bien savoir gérer l'ensemble, c'est un cas où je reconnais l'utilité d'une association IPCOP/SME ou FreeEOS. Serait-ce LA solution ici ? Si on considère qu'il est aisé de se procurer une ou deux bécanes de récup pour un prix nul ou modique (des PIII peuvent probablement suffire ?), c'est probablement la solution que j'adopterais. Je conseille bien sûr vivement, dans ce cas, d'adopter
cette architecture, et donc de dédoubler la FreeEOS en séparant sur deux bécanes séparées les services web et lan. En cas d'impossibilité de dédoubler la FreeEOS,
cette architecture peut encore faire l'affaire. Attention dans ces deux cas à bien savoir configurer l'ensemble : la moindre erreur dans les rêgles de firewalling, et toute la sécu est par terre, la solution peut être pire que l'actuelle (par exemple si un accès direc au lan depuis le web est laissé !). Si le coût financier d'une telle solution est assez réduit avec de la récupération, le coût en configuration et administration de l'ensemble est très nettement supérieur ! Mais je ne vois pas comment avoir une bonne sécurité sans le payer quelque part, et si le personnel peut apporter ou acquérir les compétences nécessaires, la solution peut être intéressante.
- Dans le même ordre d'idée que précédemment, il est peut-être aussi possible d'utiliser la liaison wifi de la FreeBox ? Cela sortirait les connexions wifi du LAN à moindre coût, et la FreeBox pourrait être configurée pour laisser tout passer vers et depuis la FreeEOS pour simuler un mode bridge qui doit être sa config actuelle. Seul petit détail : hostile à la wifi, je ne sais pas si la Freebox V4 peut en être équipée, et si elle peut gérer séparément les sorties ethernet et wifi ?
- Ne pas oublier, pour les deux cas précédents, que le réseau wifi et le LAN câblé seront deux réseaux différents, ce qui est incompatible avec, si j'ai bien compris, certaines exigences (imprimantes et disque partagé communs), sauf à mettre en place un système de règles ou de passerelles très complexe. Mais je vois mal comment faire autrement : soit tout est fermé, et il faut une procédure complexe pour autoriser certains accès seulement, soit on ouvre tout et alors il n'y a plus de sécurité... La sécurité a aussi nécessairement un coût au niveau de la facilité d'utilisation !
- Comme ccnet l'a rappelé ainsi que gemoussier, il me semble indispensable de faire (si ça ne l'est déjà) une étude très précise des besoins. Ces besoins doivent pouvoir être chiffrés (principalement : quel serait le coût d'un intrusion), et de là on peut déduire les moyens à mettre en oeuvre. Si l'on compare la sécurité à notre beurre du début, il est normal que le prix à payer pour celui-ci soit proportionnel à la quantité qu'on en veut ! Ce qu'il faut, c'est en acheter la quantité nécessaire, ni plus, ni moins !
- Ne pas être parano (dans le sens péjoratif du terme) au niveau de la sécu anti-intrusions en oubliant
les autres éléments de sécurité ! Le tout doit constituer un ensemble harmonieusement équillibré et adapté aux besoins réels.