Sécuriser la connexion entre 2 réseaux

[Mamax]

Bonjour,

Je cherche à sécuriser au maximum la connexion entre 2 réseaux (j'entends pas sécuriser en terme de droit d'accès).

J'ai un réseau d'administration de PME sur lequel il y a un grand nombre de PC, serveur Mail, stockage, facturation, routeur/firewall d'accès à internet, etc

De l'autre côté j'ai un réseau avec un grand nombre de serveurs, avec quelque PC d'administration local.
Ce réseau doit être autant que possible le plus isolé du monde extérieur.

Cependant, un petit nombre d'utilisateur doit avoir accès depuis le réseau d'administration au second Réseau (Les deux réseaux sont sur des sites distant)

Pour ce faire, nous avons connecté ces deux réseaux via un routeur (qui a donc une pate dans chacun des deux réseau) et donc pour l'instant pour accéder au second réseau depuis le réseau d'administration, on ajoute juste une route particulière sur les machines du petit nombre d'utilisateur.

Cette solution n'est absolument pas sécuriser puisque seul l'ajout de la route permet une connexion parfaite.

J'avais pensé à l'utilisation d'une access liste sur le routeur, mais une simple inversion d'adresse IP et la sécurité est contournée.

Quelle genre de solution à bas coût et la plus efficasse pourrais être employée? (Serveur Radius, serveur IpCop, etc...)

Merci

Max

[ccnet]

Isoler les personnes, devant potentiellement accéder, dans un Vlan.
Contrôler l'accès au vlan au moyen d'une solution 802.1x.
Utiliser un vpn (SSL ou ipsec) + Firewall.
Segmenter le site avec les serveurs au moyen de multiples Vlan de telle façon que la compromission d'une machine ne donne pas d'accès aux autres.
Il y a là un travail important qui ne saurait se traiter via un forum. Ce ne sont que des pistes potentielles puisque j'ignore tout de votre analyse de risque et de votre politique de sécurité.

[Mamax]

Salut,

Merci pour cette réponse.

Concernant tes questions, voici ce que je peux dire:

Me concernant, je ne m'occupe juste du LAN qui héberge tous les serveurs, je n'ai pas vraiment de contrôle sur le réseau d'administration.

Le problème est que le LAN d'administration est un unique LAN avec un seul sous réseau, il n'y a pas de VLAN et c'est ça qui pose un peu (beaucoup) problème.

En fait, nous n'avons pas besoin d'un système de sécurisation extrême:
Le voudrais juste une solution qui permette d'éviter à un petit "imbécile" de se connecter sans autorisation sur le réseau des serveurs et faire des bêtises.

[ccnet]

Je cherche à sécuriser au maximum la connexion entre 2 réseaux

et

nous n'avons pas besoin d'un système de sécurisation extrême:

J'aime beaucoup ces belles oscillations. Sans politique de sécurité ni analyse de risque on balance souvent très facilement. Si vous commenciez par répondre à cette question (quelle politique de sécurité, quels risques), alors vous y verriez plus clair.

Essayons néanmoins d'avancer.

Le problème est que le LAN d'administration est un unique LAN avec un seul sous réseau

Alors un pont (Pfsense) filtrant pourrait être une solution. Les switchs récents savent aussi le faire pour certains modèles niveau 3.

Puisqu'il y a peu d'utilisateurs concernés un vpn SSL pourrait suffire. Ipcop, Pfsense, SSLExplorer (gratuit si peu de connexions simultanées) sont envisageable si vous ne voulez pas tout monter "à la main" (Open Vpn).

Les ACL sur le routeur basées sur l'adresse ip s'apparentent dans ce cas à de la sécurité par l'obscurité.

[Mamax]

OK merci pour ces informations.

Je vais voir avec l'admin réseau de l'autre côté pour voir mettre en place une politique de sécurité et si il pourra gérer ce genre de solution.

Le pont filtrant parait une bonne solution, la solution VPN quand à elle ne sera pas applicable a cause de certains équipement utilisées qui ont besoin d'accéder au serveurs.

Et je suis d'accords avec l'utilisation des ACL qui font une illusion de le sécurité.