Séparation par Vlan VS FireWall

[Koub]

Bonjour à tous, c'est mon premier post

J'ai une problématique de réseau à résoudre.
Dans mon entreprise, nous avons des utilisateurs A qui sont sur le réseau de la boite et peuvent accéder à plusieurs ressources dont notamment des documents sur des serveurs de fichiers partagés, internet via un proxy et un serveur Weblogic et un Notes mutualisés (plusieurs projets).
Nous allons maintenant acueillir des utilisateurs B qui doivent pouvoir travailler sur les même serveurs mutualisés. Par contre, ceux-ci ne doivent pas pouvoir accéder aux autres ressources et ne doivent pas pouvoir sniffer le réseau utilisé par A.

Je vois 2 axes de réflexions :
1) les VLans
On met B sur un VLan, connecté à un switch et on connecte les 2 serveurs à ce même switch. B pourront-ils accéder aux serveurs ? Quelles sont les manip à faire ? B pourront-ils sniffer le réseau de A ? A pourront-ils toujours accéder aux serveurs ? Quelles sont la fiabilité et la sécurité de cette solution ?

2) un FireWall
On met B dans une DMZ (Lan connecté à un port d'un firewall)
On met les serveurs dans une autre DMZ, sur une autre patte du FW
On relie le réseau A au FW
On configure les flux au niveau du FW pour qu'il ne laisse B accéder uniquement aux serveurs.
Qu'en pensez vous ?

La solution FW me parait la plus sûr, surtout dans une optique à moyen terme où le cas risque de se répéter, mais pour l'instant, c'est assez urgent...

[stardust]

Bonjour,

Il y a toujours le risque que quelqu'un cherche à saturer le switch : http://www.net-security.org/article.php?id=615

[Koub]

Et si le switch est saturé, il ne tient plus compte des VLans ? Il broadcast l'ensemble des paquets à tout le monde ? Pas cool...
C'est facile à mettre en place cette attaque ?

Sinon, les Vlans peuvent-ils constituer une première solution fonctionnelle ? Permettent-ils de répondre à tous les besoins ?
Peut-on mettre les serveurs à la fois sur le Vlan B et sur le réseau A ?

[stardust]

Si tu souhaite que des utilisateurs d'un Vlan A et des utilisateurs d'un Vlan B puisse accèder aux mêmes serveurs tu as les choix suivants :

- Gestion des 2 Vlans au niveau des serveurs, c'est à dire que les serveurs doivent appartenir aux 2 vlans par exemple via 802.1q
- Commutation de niveau 3 au niveau du switch de sorte que les serveurs soient par exemple dans un Vlan C (Vlans Serveurs) et que tu n'autorises, via access lists, que des flux du Vlan A vers le Vlan C et du Vlan B vers le Vlan C mais pas du Vlan A vers B.

[Koub]

Ok, merci pour ta réponse.
La configuration se fait donc au niveau du switch. Par contre, le filtrage des paquets se fait sur l'@ ip ou sur l'@ mac ?

[vanvan]

concernant les vlans je tiens à rajouter un bémol. En dehors du fait, que ça soit sympa pour la sécurité d'un réseau ça met un sacré bronx au niveau des images ghost car quand on broadcast une image ghost pour faire plusieurs ordinateurs. ça plombe le réseau pendant une dizaine de minutes mais du genre plus de net, plus moyen de toucher les différents serveurs. Alors sauf si mon cas est particulier et que quelqu'un me confirme le contraire, y a quand même des trucs à surveiller.

[Koub]

Mettre un firewall serait donc un solution plus fiable et plus performante ?

[bebertjack]

Bonjour,

Pour moi le firewall semble etre la solution qui te convient le mieux car les vlan ne sont pas fait pour sécuriser un réseau mais pour pouvoir le segmenter.

Sinon une autre idée mais qui me semble moins facile a gèrer est de mettre une nouvelle carte réseau sur tous tes serveurs mutualisés, de vérifier que l'IP FORWARDING est désactiver et de créer un nouveau réseau avec switch indépendant et tes clients B.

Sinon un petit ipcop c'est rapide a monté faut voir ensuite le style de flux qui traversent, si tu fait de la translation d'adresse, du port forwarding,...

[fabzz007]

salut,

J'utilise les vlans depuis quelque temps. Et voilà ce que je pense de tout ça...

Les vlans sont fait pour SEPARER les réseaux (de maniere logique : c a d simmulation de 2 switch alors qu'il n'y en a qu'un) donc vouloir faire communiquer 2 vlans va, selon moi, à l'encontre de ce principe de séparation... et présente en plus des risuqe de sécurité

Je suis d'accord que parfois en fonction de nos besoin il devient utile d'authoriser un PC à communiquer sur les 2 vlans donc voilà ce que j'ai mis en place dans mon lan

Code: Tout sélectionner

Réseau1      Réseau2            Réseau3
    |            |                  |
    |            |                  |
    |            |                  |
    |            |                  |
  VLAN1        VLAN2         SWITCH INDEPENDANT
    |            |                  |
    |            |                  |
    |            |                  |
    |            |                  |
  MNF (MULTI NETWORK FIREWALL) De chez Mandrake
                 |                   
                 |                   
                 |                   
                 |                   
             Internet



Ainsi Réseau 1, 2 et 3 sont tous géré par la mnf qui authorise ou non Réseau1 vers Réseau 2.

J'ai mis reseau 3 sur un switch Différent car il y à vaiment des données plus sensibles (compta, paye etc..) ainsi aucun interet de pirater le switchqui gere les vlan...

Le FireWall (mnf) dans cette architechture a les roles de (passerelle, routeur, proxy) mais tu pourrais tout à fait le remplacer par un routeur simple en fonction de tes besoins (moins sécurisé à mon gout... mais possible).

Voilà, en esperant t'avoir aidé...

@+ Fabz

[Methos_Hi]

Je ne comprends pas bien ton dessin. Où est le switch qui définit les vlan ??

[fabzz007]

Code: Tout sélectionner

Réseau1      Réseau2            Réseau3
10.U.V.W/8   172.10.X.Y/16      192.168.254.Z/24
    |            |                  |
    |            |                  |
    |            |                  |
    |            |                  |
(VLAN1)      (VLAN2)        SWITCH INDEPENDANT
    ----SWITCH----
    |            |                  |
    |            |                  |
    |            |                  |
    |            |                  |
   eth0         eth1               eth2
  MNF (MULTI NETWORK FIREWALL) Firewall avec 4 cartes réseau
               eth3
                 |                   
                 |                   
                 |                   
                 |   
            MODEM ADSL
                 |                   
                 |                   
                 |                                   
             Internet



Es ce que c'est plus claire comme ça ? sinon je peux réexpliquer autrement....

[green_angel]

Normalement pour sniffer, il faut pas de routage et pas de switchs; Ca peut sniffer que les broadcast/multicast dans ce cas là. Donc le vlan fou effectivement juste le ***** lors de descente de ghost/mise à jour. La config précédente est bien mais le firewall (MNF) doit forcément être une grosse machine si elle s'occupe en plus de faire les mises à jour et quelles gèrent d'autres choses comme les bases de données et sa config n'est pas forcément évidente. Cependant ce type de machine est nécessaire à chaque architecture (firewall). Bon , en fait là je parle pour ne rien dire ; Donc le mieux c'est créer un serveur de domaine et gérer les droits indépendemment (si windows groupes avec Active Directory....) sans se soucier des vlans en mettant un switch pour éviter un éventuel sniffeur.

[vanvan]

dans mon cas j'ai le firewall en tête de réseau puis mon architecture en vlans derrières. Puis sur mon firewall j'ai autorisé que certaines plages d'adresses ( selon les vlans ) à sortir ou pas.
ça permet aussi de définir un vlan public, visible sur le net, et tout le reste en privé.

[Franck78]

Un critère qui te forcera à choisir c'est le cablage réseau.

Si tes bonhommes B sont répartis dans des bureaux avec l'autre équipe A, sauf a doubler le réseau, seule la solution vlan est possible.
Chaque point est affecté a l'un ou l'autre vLan.
Cela suppose bien sur que tes équipements actuel soit vlan d'origine !

Si maintenant l'équipe B est physiquement isolable (un étage, un bloc,...,) tu auras un choix plus élargi.

Alors décrit donc un peu le "physique" existant !

Quand au saturage de switch:
Si le vlan était mis en défaut par si peu, il n'aurait aucun intérèt.

vlan1 se mettra à fonctionner en hub s'il le doit. Mais seulement entre les ports affectés à vlan1 !


Bye

[GozerX99]

concernant les vlans je tiens à rajouter un bémol. En dehors du fait, que ça soit sympa pour la sécurité d'un réseau ça met un sacré bronx au niveau des images ghost car quand on broadcast une image ghost pour faire plusieurs ordinateurs. ça plombe le réseau pendant une dizaine de minutes mais du genre plus de net, plus moyen de toucher les différents serveurs. Alors sauf si mon cas est particulier et que quelqu'un me confirme le contraire, y a quand même des trucs à surveiller.

Je vais quelque peu m'écarter du sujet principal, en répondant à vanvan, mais bon ...

Effectivement, j'ai déjà vu ce symptome (sur 4 étages switchés, tout les accès bloqués pour 5 GHOST de postes, arf )
Sinon, faudrait voir du côté des protocoles utilisé par Ghost, car il y en a au moins 2 ou 3 d'après ce que je m'en rappelle, donc, peut-être qu'en en utilisant un autre, ca sature moins.



Sinon, concernant le problème de départ de Koub, je suis tout à fait d'accord avec fabzz007 ! (y a rien d'autres en dire, il a tout dit )