Découpage et isolation sur un réseau

[Pyrithe]

Bonjour,

Je dois cogiter au moyen le plus simple et le moins onéreux de mettre en place un "découpage" de réseau.
Je vous expose d'abord l'architecture réseau qui va être créée:
Un bâtiment (A) dispose d'une connexion Internet par le biais d'une classique Box. On relie cette Box à un Switch. De ce switch, on fait partir trois câbles à destination du toit du bâtiment, qui serviront à connecter 3 Antennes unidirectionnelles Wifi.
Chaque Antenne a donc pour but de connecter avec une autre antenne en face d'elle, sur un autre bâtiment.
A ce stade, on peut résumer ainsi: Un bâtiment, possédant une connexion ADSL, desserre par Wifi 3 autres bâtiments.

Dans ces 3 bâtiments desservis, on peut mettre, si je ne me trompe pas, des prises RJ45 murales ou une borne wifi afin d'assurer la connectivité.

Problème à résoudre: Comment faire pour isoler chacun des 3 bâtiments qui sont desservis? Je veux dire par là que les machines connectés par exemple, ne puissent se voir sur le réseau...

Merci à tous ceux qui m'aideront à avancer dans cette étude...

[jdh]

Le plus simple, dans ce schéma, c'est de remplacer le switch par un firewall à 4 interfaces (Wan, Wifi1, Wifi2, Wifi3).

Il est notable qu'Ipcop n'est pas prévu pour gérer des zones ainsi.
Par contre pfSense est parfaitement adapté vu sa capacité à gérer plusieurs interfaces.

On veillera ensuite à configurer le firewall pour que les zones ne communiquent pas.
(Avec pfSense, on créé des alias pour chaque réseau-zone, et on créé des règles d'interdiction au début=en haut de l'onglet).


Chaque bâtiment sera ainsi vu comme un réseau unique (et distinct).
Il doit être possible d'utiliser des switchs permettant d'isoler chaque port = chaque prise, pour prolonger la démarche.
Mais ce n'est pas "en standard" dans un switch "basic" ...

[Pyrithe]

Il doit être possible d'utiliser des switchs permettant d'isoler chaque port = chaque prise, pour prolonger la démarche.
Mais ce n'est pas "en standard" dans un switch "basic" ...

Effectivement, on doit pouvoir utiliser un switch gérant le VLAN pour découper le réseau comme on veut...

pfSense, oui, pourquoi pas, mais ca oblige encore à maintenir un élément actif sur un infra somme toute assez basique en termes de complexité des éléments utilisés...

[fleib]

Ceci dit, la mise en place d'un parefeu à 4 interfaces induit plus de sécurité qu'un simple commutateur implémentant les VLANs...

De plus, le parefeu autorise un filtrage entrant/sortant par port/protocole que le commutateur ne permet pas...

[Pyrithe]

Je viens aussi de tomber sur quelque chose qui pourrait, en partie, répondre à mes besoins: La DSCBOX
http://detrigne.info/site/?page_id=37

Bon, ok, c'est une solution proprio...
Mais on réfléchissait au fait de mettre un portail captif, permettant d'attribuer un identifiant de connexion à chaque utilisateur, et à l'obligation légale de conserver des logs de connexion.
Ce dispositif offre tout cela, et ne permet vraisemblablement pas aux différentes machines de pouvoir communiquer entre elles...

[fleib]

Tu peux faire la même chose avec pfsense comme cité plus haut et pour la moitié du prix... Avec en plus la fierté d'utiliser un logiciel opensource...

[Pyrithe]

Tu peux faire la même chose avec pfsense comme cité plus haut et pour la moitié du prix... Avec en plus la fierté d'utiliser un logiciel opensource...

On peut gérer le ticketing, les durées de connexions, les logs, et éventuellement un filtrage d'URL?
L'interface d'utilisation courante pour le client final est elle simple à utiliser? Par exemple lors d'un control, pourra-t'il facilement sortir les logs de connexion, et pourra t'il imprimer facilement un ticket de connexion??

[Titofe]

Zentyal qui se trouve être une distribution basée sur Ubuntu, à peut être ce que vous recherchez :

- Firewall
- X Reseau
- Vlan
- Proxy
- et la 2.2 qui doit sortir vers septembre aura entre autre un portail captif et il y a une Zentyal 2.2 rc1 si vous voulez l'essayer sur un serveur de test.

Maintenant je ne connais pas tous vos besoins, mais cela peut déjà être un bon début.

Avoir.

Cdt,

[Pyrithe]

- et la 2.2 qui doit sortir vers septembre aura entre autre un portail captif et il y a une Zentyal 2.2 rc1 si vous voulez l'essayer sur un serveur de test.

Effectivement, ce peut être une piste. Par contre, je suis toujours réticent au fait "d'essuyer les plâtres" en situation réelle d'exploitation.
J'ai surement tendance à être un peu frileux, mais les solutions qui ne sont pas éprouvées me font toujours un peu peur. J'essaie de garantir les services rendus...

Pour revenir à la DscBOX qui me semble assez bien (malgré le côté proprio!), elle offre toutes les fonctions "métier" (ticketing, conservation de logs, etc), mais le support de la marque me dit que, volontairement, afin d'offrir un prix attractif, elle n'offre pas de fonctions de sécurité qui me permette d'isoler les utilisateurs (ou plutôt les machines, d'un point de vue réseau). Par contre, ils m'assurent que la plupart des point d'accès-wifi offrent cette fonction nativement... Quelqu'un peut m'en dire plus afin que je cherche des point d'accès adaptés???

[jdh]

Je ne déteste pas Zentyal, bien au contraire, mais c'est une distribution à comparer à SME : c'est bien plus complet qu'un firewall comme pfSense. AMHA à éviter pour cette fonction seulement.


Les possibilités en terme de sécurité sont, dans l'ordre, :
- isoler un bâtiment par rapport à l'autre,
- isoler une prise par rapport à l'autre (dans un même bâtiment).

L'intérêt d'utiliser un firewall juste près de l'accès Internet est de répondre clairement au point 1.
Et aussi d'assurer un filtrage sortant absolument nécessaire !

Isoler une prise par rapport à l'autre ne se résume pas à des VLAN.
NB : Les VLAN ne garantissent en rien l'étanchéité entre eux : un petit malin est capable de passer outre. C'est juste "mieux que rien".
NB2 : Le mot de passe d'admin de pfSense ne résisteraient pas mieux.
Mais, surtout, il est difficile d'envisager 1 VLAN par prise !

On peut penser à 802.1X : cf http://fr.wikipedia.org/wiki/IEEE_802.1X
Mais cela impose un serveur Radius et une config client, sans compter des switchs compatibles !
C'est pourtant ce qui me semble le plus intéressant ...

Un portail captif (présent dans pfSense) est juste un moyen d'authentification de l'accès à Internet.
Il ne résout donc pas l'isolation inter-prises !
De plus, il faudra gérer les comptes du portail (identifiant/mdp).
Et à partir d'un certain nombre, la base interne (pour pfSense) est "usante" ... (p.e. pas facile de créer 100 comptes en début d'année).

[Pyrithe]

On peut penser à 802.1X : cf http://fr.wikipedia.org/wiki/IEEE_802.1X
Mais cela impose un serveur Radius et une config client, sans compter des switchs compatibles !
C'est pourtant ce qui me semble le plus intéressant ...

Heuu... on parle de gites là!! Un serveur Radius, ca implique quand même une mise en ouevre et un maintient totalement disproportionnés!!
On m'a assuré que les point d'accès wifi savaient pour la plupart "isoler" les clients entre eux, en empêchant les machines de pouvoir se voir...
J'imagine qu'il s'agit d'un certain mode de fonctionnement, ou d'un protocole qui offre cette fonction...

[jdh]

Je répond à la question mais, n'ayant aucune information sur la taille, il est difficile de faire la préconisation "adaptée" !

Si le sujet est
- une ligne adsl basique,
- 3 gites avec 2 ou 3 utilisateurs maxi,
ce sera assez différent de 3 bâtiments de 50 studios pour étudiants !
(NB : en plus une ligne adsl pour 3 bâtiments de 50 ...)



NB : il y a quelques années, le même sujet a été abordé, peut-être sur ce site, ...
NB : après y avoir regardé, cela semble le ... même sujet : je pensais que le tour de la question avait été fait !

[Pyrithe]

NB : après y avoir regardé, cela semble le ... même sujet : je pensais que le tour de la question avait été fait !

Non pourtant, je sais que ca y ressemble, c'est d'ailleurs presque la même chose, mais le sujet initial s'était soldé par une solution basée sur le CPL...

J'essaie de trouver des infos sur ces fonctions qui permettraient à un Point d'Accès Wifi d'isoler les machines qui s'y connecte, mais je ne trouve rien...

[fleib]

Sur quasiment tous les points d’accès wifi récents, tu as une fonction qui s'appelle "wifi isolation" qui permet effectivement qu'une machine donnée ne voit que le point d’accès et non pas les autres stations voisines attachées au même point d’accès.

Si je suis la logique développée plus haut, une ligne ADSL, un parefeu pfsense et trois points d’accès (un par gite) et le tour est joué...

[Titofe]

Petite précision.

Je ne déteste pas Zentyal, bien au contraire, mais c'est une distribution à comparer à SME : c'est bien plus complet qu'un firewall comme pfSense.

Pour la comparaison de Zentyal à SME cela est discutable.
A l'installation d'une SME on a seulement le choix ou non de l'installer en "Serveur seulement" ou en "Serveur et passerelle".
Zentyal est bien plus souple de ce côté si, une fois la base serveur d'Ubuntu d'installer on a le choix d'installer chaque paquet individuellement ou pas.

Par contre, je te rejoins au niveau du Firewall dédier, pour moi y a pas mieux.

Cdt,

Titofe