yun a écrit:Merci de ta réponse.
Je n'ai pas parlé d'IPCOP mais de Pfsense.
Et je me demande bien pourquoi moi, je l'ai fait. Reprenons.
Les questions de la politique de sécurité et de l'analyse de risque restent entières. Et la formulation de cette demande suscite de mon point de vue les mêmes interrogations que jdh. Plus de 1 000 utilisateurs sur un réseau hospitalier, et la refonte de l'architecture du point de vue sécurité confié à un stagiaire ? Je ne comprend pas. Néanmoins tant mieux pour (tant pis pour eux) le sujet est intéressant et valorisant.
Quelques idées à priori (faute des éléments nécessaires). Il semble nécessaire de prévoir deux dmz (interne, externe) en plus du réseau local (1 000 utilisateurs, une seule zone, un seul segment, pas de Vlan ?). Un firewall, Pfsense. Utiliser des switch permettant la gestion de vlan pour cloisonner dans une même zone le trafic afin d'éviter que la compromission d'une machine permette d'en accéder une autre.
Prévoir la configuration d'un port de copie pour éviter (entre autre) la détection de l'ids. Sur des Cisco, ne pas utiliser le Valn1 et désactiver des protocoles tel que VTP.
Dans la dmz externe le relais smtp assurant AS-AV. Postfix est un bon choix. Bien utiliser les restrictions et les access lists de Postfix pour rejeter les spams certains avant de faire travailler un AS comme Spamassassin. Postfix + Cmav+Spamassasin+Razor etc est une config un peu délicate à installer à la main entièrement. ClarkConnect (version gratuite) est une très bonne solution pour ce travail.
Si des services http doivent être accédés de l'extérieur sans vpn, prévoir un reverse proxy, lui aussi en dmz externe, pour protéger le serveur Web placé en dmz interne. Serveur de mail en dmz interne. Proxy aussi en dmz interne. Ne pas laisser sortir le trafic dns des utilisateurs, préférer une résolution interne avec le service dns fourni pas Pfsense.
Monter l'ids sur une machine séparée avec deux interfaces, une en 0.0.0.0 et l'autre dans un réseau protégé (une autre dmz par exemple). Des outils comme IDS Policy Manager sont fort utiles surtout si vous devez placer plusieurs sondes. Ne pas utiliser Snort sur Pfsense : trop dangereux et trop lourd.
Tout cela ce sont des techniques un peu en vrac. Sans le travail préalable (politique de sécurité et analyse de risque), je ne sais pas faire mieux.