Architecture réseau pour PME

[HadaDeLaLuna]

Bonjour

je ne suis pas admin réseau, et le budget est à zéro...

Bref, j'ai à concevoir un réseau pour PME.

Ce réseau est :

• derrière une FreeBox V4
• avec un serveur Free-EOS 1.3-3 qui contient des sites internets, sert de serveur mail, etc. et de passerelle.
• un PC fixe derrière le serveur et qui sert à l'administrer (entre autres tâches)
• avec des PC portables (des netbook EEEPC Linux Xandros) équipés Wifi
• un disque de stockage externe qui doit être accessible du PC fixe et doit pouvoir servir à des sauvegarde du serveur, l'accessibilité via les netbooks devant être possible mais de façon sécurisée (pour sauvegardes des fichiers sensibles pour l'activité de la PME)
• une multifonction fax, scanner, photocopies, impression couleur
• une imprimante N&B

Sachant que le wifi pour les netbooks concerne des personnes itinérantes (sans bureau fixe et avec une imprévisibilité totale du nombre de personnes présentes) et qui ont besoin:

• d'accéder à internet
• d'utiliser les imprimantes
• de sauvegarder les fichiers de travail sur le disque dur externe

Vu le profil et la configuration des bureaux (cablâge impossible et plusieurs pièces), le wifi est donc privilégié pour eux.

Un ami étudiant admin réseau m'a suggéré la structure suivante :

FreeBox <-cable ethernet-> Serveur Free-EOS <-cable ethernet-> Routeur Lynksys WRT610N

Et sur le routeur on "branche" :

• les imprimantes (câbles éthernet)
• le disque dur externe (câble USB)
• le PC fixe (câble éthernet)
• les netbooks (Wi-fi)

Intuitivement, je me dis qu'il y a une faille de sécurité, puisque du coup, sont accessibles par Wi-Fi:

• l'administration du serveur
• le disque dur externe

Pouvez vous me confirmer ou infirmer mon intuition ?

Si cette intuition se trouve exacte, merci de me proposer un autre schéma de branchement.

[ccnet]

FreeBox <-cable ethernet-> Serveur Free-EOS <-cable ethernet-> Routeur Lynksys WRT610N

C'est une configuration possible a priori. Je ne sais pas ce que l'on sait faire en sécurité avec FreeOS. Une observation : tout ce qui est filaire peut (doit ?) être connecté au switch du réseau interne directement sans passer par le routeur. Celui gérera les sans fil.
Cette configuration est elle suffisante ? Je n'en sais rien, j'ignore la sensibilité des informations gérées. Si vous n'avez pas de budget et peu de compétence il faudra probablement vous en accomoder.

[Stirner]

Salut,


Quand on ne peut pas tirer de câble le CPL est une bonne alternative pour les portable ce qui évite tous risque de piratage via le réseau WIFI. Maintenant sur un Lynksys WRT610N il doit être possible d'utiliser RADIUS (a vérifier ) Free-EOS étant basé sur SME il doit être possible d'utiliser le serveur comme serveur radius. Désolé si je ne suis pas clair mais j'ai une crève du tonerre et j'ai du mal à réfléchir;

@+

[HadaDeLaLuna]

Bonjour,

tout ce qui est filaire peut (doit ?) être connecté au switch du réseau interne directement sans passer par le routeur. Celui gérera les sans fil.

cela veut il dire qu'il faut en fait deux boitiers à la place du routeur ?

avec une architecture du style:

FreeBox <-cable ethernet-> Serveur Free-EOS <-cable ethernet-> boitier filaire <-cable ethernet-> boitier wifi

avec sur le boitier filaire :

• les imprimantes (câbles éthernet)
• le disque dur externe (câble USB)
• le PC fixe (câble éthernet)
• le boitier Wi-fi

Et les netbooks (Wi-fi) se connectant au boitier wifi ?

Néanmoins, le wifi garde l'accès à l'admin du serveur (qui est est accessible par le réseau interne uniquement) et au disque dur... Je ne vois pas trop la différence si ce n'est d'avoir 2 boîtiers au lieu d'un seul...

Quand on ne peut pas tirer de câble le CPL est une bonne alternative pour les portable ce qui évite tous risque de piratage via le réseau WIFI.

J'ai regardé avec mon ami Google et je ne comprend pas très bien... Est ce qu'on peut aussi se brancher sur des multiprises ?

De plus, il semble qu'à 300m de câblage électrique du point d'entrée on peut accéder au réseau interne et que le compteur électrique ne bloque pas cet accès... Or le serveur est à... 3 mètres du compteur, donc le voisinage sur 300 m à plein accès au réseau... Comme par exemple à partir des prises électriques des palliers destinées aux aspirateurs pour faire le ménage dans l'immeuble... C'est effectivement plus compliqué, il faut un plug compatible à poser sur la prise alors que le wifi est quasi dans tout portable moderne mais bon... pour qui veut ce n'est pas si compliqué que cela d'accéder au serveur de l'intérieur...

Maintenant sur un Linksys WRT610N il doit être possible d'utiliser RADIUS (a vérifier ) Free-EOS étant basé sur SME il doit être possible d'utiliser le serveur comme serveur radius.

Effectivement il semble (c'est à creuser) qu'il y a radius sur le Linksys WRT610N mais d'un autre coté je n'ai rien vu de tel sur Free-EOS...

[gemoussier]

Intuitivement, je me dis qu'il y a une faille de sécurité, puisque du coup, sont accessibles par Wi-Fi:


* l'administration du serveur
* le disque dur externe

et

cela veut il dire qu'il faut en fait deux boitiers à la place du routeur ?

avec une architecture du style:

FreeBox <-cable ethernet-> Serveur Free-EOS <-cable ethernet-> boitier filaire <-cable ethernet-> boitier wifi

Quel est le degré de confiance accordé aux utilisateurs ? Vous craignez pour la sécurité en interne ou pour une intrusion par un pirate nomade ?
Selon le degré de "paranoïa" (au bon sens du terme), et vu le budget zéro, une protection par cryptage du WiFi (de toute façon obligatoire!), ne suffirait-elle pas ? Vous pouvez aussi bien rajouter Radius en plus.

La sécurité ne sera certes pas optimales, mais tout dépendra de votre appréciation des risques. Il n'y a malheureusement pas de solution unique et passe-partout.

[Stirner]

Salut,


Effectivement si ton réseau électrique sort vers "l'extérieur " alors pas de CPL. Pour info les CPL ne supportent pas trop les multiprises en particuliers celle équipées de parafoudres.

Free-EOS est basé sur SME. le service radius est implanté de base sur SME depuis les version 7 (si je ne dis pas trop de $%#&!) et est utilisé pour l'authentification des clients VPN. Essaye le petit tuto http://forums.ixus.fr/viewtopic.php?t=37391&highlight=radius+vpn de trixel je pense que ça doit passé sur Free-EOS.


PS : Dommage que notre ami jibe ne passe plus il aurait pu te confirmer tous cela mieux que moi...

[Titofe]

Pour ce qui est de Free-EOS, tu peux te renseigner à cette endroit et si je ne me trompe pas jibe y est très actif .

[jibe]

Salut,

Me revoici donc, à titre exceptionnel

Que dire de plus, si ce n'est insister à nouveau sur le fait que sécurité maximum me semble incompatible avec coûts minimum. C'est l'histoire du beurre et de l'argent du beurre (je pense que tu connais cette expression française, HadaDeLaLuna) !

Cela dit, je comprends que le choix soit cornélien et je reconnais tout à fait la légitimité de ta question

Je ne peux malheureusement guère faire plus que donner quelques pistes :

- FreeEOS n'intègre pas (malheureusement !) de serveur radius. Je n'ai pas étudié la question, mais à priori je ne pense pas (malheureusement encore !) qu'il soit simple à ajouter (noyau 2.2, base SME 5.5/RH 7.3)... Peut-être pourrait-il être mis sur le PC fixe ? Mais dans ce cas, il devrait fonctionner 24h/24...

- CPL me parait une assez bonne solution malgré tout (si c'est possible, mais à priori contrairement à l'idée répandue les compteurs ne sont pas un obstacle - tout au moins les compteurs électroniques actuels, moins sûr pour les anciens compteurs électromagnétiques - par contre les transformateurs le sont). On ne gagne rien en sécurité, par contre je dirais qu'on y gagne gros en risques : une intrusion via wifi est aisée et tentante puisque le réseau est visible de tout autre équipement wifi, qui donc aura connaissance de la liaison CPL et pourra en tirer profit ? Le risque existe toujours, mais est bien moindre !

- A condition de bien savoir gérer l'ensemble, c'est un cas où je reconnais l'utilité d'une association IPCOP/SME ou FreeEOS. Serait-ce LA solution ici ? Si on considère qu'il est aisé de se procurer une ou deux bécanes de récup pour un prix nul ou modique (des PIII peuvent probablement suffire ?), c'est probablement la solution que j'adopterais. Je conseille bien sûr vivement, dans ce cas, d'adopter cette architecture, et donc de dédoubler la FreeEOS en séparant sur deux bécanes séparées les services web et lan. En cas d'impossibilité de dédoubler la FreeEOS, cette architecture peut encore faire l'affaire. Attention dans ces deux cas à bien savoir configurer l'ensemble : la moindre erreur dans les rêgles de firewalling, et toute la sécu est par terre, la solution peut être pire que l'actuelle (par exemple si un accès direc au lan depuis le web est laissé !). Si le coût financier d'une telle solution est assez réduit avec de la récupération, le coût en configuration et administration de l'ensemble est très nettement supérieur ! Mais je ne vois pas comment avoir une bonne sécurité sans le payer quelque part, et si le personnel peut apporter ou acquérir les compétences nécessaires, la solution peut être intéressante.

- Dans le même ordre d'idée que précédemment, il est peut-être aussi possible d'utiliser la liaison wifi de la FreeBox ? Cela sortirait les connexions wifi du LAN à moindre coût, et la FreeBox pourrait être configurée pour laisser tout passer vers et depuis la FreeEOS pour simuler un mode bridge qui doit être sa config actuelle. Seul petit détail : hostile à la wifi, je ne sais pas si la Freebox V4 peut en être équipée, et si elle peut gérer séparément les sorties ethernet et wifi ?

- Ne pas oublier, pour les deux cas précédents, que le réseau wifi et le LAN câblé seront deux réseaux différents, ce qui est incompatible avec, si j'ai bien compris, certaines exigences (imprimantes et disque partagé communs), sauf à mettre en place un système de règles ou de passerelles très complexe. Mais je vois mal comment faire autrement : soit tout est fermé, et il faut une procédure complexe pour autoriser certains accès seulement, soit on ouvre tout et alors il n'y a plus de sécurité... La sécurité a aussi nécessairement un coût au niveau de la facilité d'utilisation !

- Comme ccnet l'a rappelé ainsi que gemoussier, il me semble indispensable de faire (si ça ne l'est déjà) une étude très précise des besoins. Ces besoins doivent pouvoir être chiffrés (principalement : quel serait le coût d'un intrusion), et de là on peut déduire les moyens à mettre en oeuvre. Si l'on compare la sécurité à notre beurre du début, il est normal que le prix à payer pour celui-ci soit proportionnel à la quantité qu'on en veut ! Ce qu'il faut, c'est en acheter la quantité nécessaire, ni plus, ni moins !

- Ne pas être parano (dans le sens péjoratif du terme) au niveau de la sécu anti-intrusions en oubliant les autres éléments de sécurité ! Le tout doit constituer un ensemble harmonieusement équillibré et adapté aux besoins réels.

[Hada de la Luna]

La suite du réseau...

L'idée retenue finalement est la suivante:

Freebox V4 <-- ethernet --> boitier switch ou routeur avec wifi inside <-- ethernet --> passerelle et serveur internet free-eos (basé sur sme server) <-- ethernet --> boitier switch ou routeur <-- ethernet --> PC fixes et disque externe de sauvagarde

l'imprimante qui fait tout on pense l'installer au niveau du 1er boitier après la freebox... qd on on achetera une

la question, est de savoir quels types de boitiers ?

• pour celui avec wifi: switch ou routeur ?
• pour celui derrière la passerelle - serveur: switch ou routeur ?