Séparation par Vlan VS FireWall

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Séparation par Vlan VS FireWall

Messagepar Koub » 22 Juin 2004 14:38

Bonjour à tous, c'est mon premier post :wink:

J'ai une problématique de réseau à résoudre.
Dans mon entreprise, nous avons des utilisateurs A qui sont sur le réseau de la boite et peuvent accéder à plusieurs ressources dont notamment des documents sur des serveurs de fichiers partagés, internet via un proxy et un serveur Weblogic et un Notes mutualisés (plusieurs projets).
Nous allons maintenant acueillir des utilisateurs B qui doivent pouvoir travailler sur les même serveurs mutualisés. Par contre, ceux-ci ne doivent pas pouvoir accéder aux autres ressources et ne doivent pas pouvoir sniffer le réseau utilisé par A.

Je vois 2 axes de réflexions :
1) les VLans
On met B sur un VLan, connecté à un switch et on connecte les 2 serveurs à ce même switch. B pourront-ils accéder aux serveurs ? Quelles sont les manip à faire ? B pourront-ils sniffer le réseau de A ? A pourront-ils toujours accéder aux serveurs ? Quelles sont la fiabilité et la sécurité de cette solution ?

2) un FireWall
On met B dans une DMZ (Lan connecté à un port d'un firewall)
On met les serveurs dans une autre DMZ, sur une autre patte du FW
On relie le réseau A au FW
On configure les flux au niveau du FW pour qu'il ne laisse B accéder uniquement aux serveurs.
Qu'en pensez vous ?

La solution FW me parait la plus sûr, surtout dans une optique à moyen terme où le cas risque de se répéter, mais pour l'instant, c'est assez urgent...
Koub
Matelot
Matelot
 
Messages: 5
Inscrit le: 22 Juin 2004 14:23

Messagepar stardust » 22 Juin 2004 15:00

Bonjour,

Il y a toujours le risque que quelqu'un cherche à saturer le switch : http://www.net-security.org/article.php?id=615

:wink:
Avatar de l’utilisateur
stardust
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 181
Inscrit le: 21 Fév 2003 01:00
Localisation: Ile de France

Messagepar Koub » 22 Juin 2004 15:08

Et si le switch est saturé, il ne tient plus compte des VLans ? Il broadcast l'ensemble des paquets à tout le monde ? Pas cool...
C'est facile à mettre en place cette attaque ?

Sinon, les Vlans peuvent-ils constituer une première solution fonctionnelle ? Permettent-ils de répondre à tous les besoins ?
Peut-on mettre les serveurs à la fois sur le Vlan B et sur le réseau A ?
Koub
Matelot
Matelot
 
Messages: 5
Inscrit le: 22 Juin 2004 14:23

Messagepar stardust » 22 Juin 2004 15:38

Si tu souhaite que des utilisateurs d'un Vlan A et des utilisateurs d'un Vlan B puisse accèder aux mêmes serveurs tu as les choix suivants :

- Gestion des 2 Vlans au niveau des serveurs, c'est à dire que les serveurs doivent appartenir aux 2 vlans par exemple via 802.1q
- Commutation de niveau 3 au niveau du switch de sorte que les serveurs soient par exemple dans un Vlan C (Vlans Serveurs) et que tu n'autorises, via access lists, que des flux du Vlan A vers le Vlan C et du Vlan B vers le Vlan C mais pas du Vlan A vers B.
Avatar de l’utilisateur
stardust
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 181
Inscrit le: 21 Fév 2003 01:00
Localisation: Ile de France

Messagepar Koub » 22 Juin 2004 15:44

Ok, merci pour ta réponse.
La configuration se fait donc au niveau du switch. Par contre, le filtrage des paquets se fait sur l'@ ip ou sur l'@ mac ?
Koub
Matelot
Matelot
 
Messages: 5
Inscrit le: 22 Juin 2004 14:23

Messagepar vanvan » 22 Juin 2004 16:05

concernant les vlans je tiens à rajouter un bémol. En dehors du fait, que ça soit sympa pour la sécurité d'un réseau ça met un sacré bronx au niveau des images ghost car quand on broadcast une image ghost pour faire plusieurs ordinateurs. ça plombe le réseau pendant une dizaine de minutes mais du genre plus de net, plus moyen de toucher les différents serveurs. Alors sauf si mon cas est particulier et que quelqu'un me confirme le contraire, y a quand même des trucs à surveiller.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar Koub » 22 Juin 2004 17:30

Mettre un firewall serait donc un solution plus fiable et plus performante ?
Koub
Matelot
Matelot
 
Messages: 5
Inscrit le: 22 Juin 2004 14:23

Messagepar bebertjack » 22 Juin 2004 18:19

Bonjour,

Pour moi le firewall semble etre la solution qui te convient le mieux car les vlan ne sont pas fait pour sécuriser un réseau mais pour pouvoir le segmenter.

Sinon une autre idée mais qui me semble moins facile a gèrer est de mettre une nouvelle carte réseau sur tous tes serveurs mutualisés, de vérifier que l'IP FORWARDING est désactiver et de créer un nouveau réseau avec switch indépendant et tes clients B.

Sinon un petit ipcop c'est rapide a monté faut voir ensuite le style de flux qui traversent, si tu fait de la translation d'adresse, du port forwarding,...
bebertjack
Major
Major
 
Messages: 71
Inscrit le: 30 Mars 2004 11:23

Messagepar fabzz007 » 23 Juin 2004 09:23

salut,

J'utilise les vlans depuis quelque temps. Et voilà ce que je pense de tout ça...

Les vlans sont fait pour SEPARER les réseaux (de maniere logique : c a d simmulation de 2 switch alors qu'il n'y en a qu'un) donc vouloir faire communiquer 2 vlans va, selon moi, à l'encontre de ce principe de séparation... et présente en plus des risuqe de sécurité

Je suis d'accord que parfois en fonction de nos besoin il devient utile d'authoriser un PC à communiquer sur les 2 vlans donc voilà ce que j'ai mis en place dans mon lan
Code: Tout sélectionner
Réseau1      Réseau2            Réseau3
    |            |                  |
    |            |                  |
    |            |                  |
    |            |                  |
  VLAN1        VLAN2         SWITCH INDEPENDANT
    |            |                  |
    |            |                  |
    |            |                  |
    |            |                  |
  MNF (MULTI NETWORK FIREWALL) De chez Mandrake
                 |                   
                 |                   
                 |                   
                 |                   
             Internet



Ainsi Réseau 1, 2 et 3 sont tous géré par la mnf qui authorise ou non Réseau1 vers Réseau 2.

J'ai mis reseau 3 sur un switch Différent car il y à vaiment des données plus sensibles (compta, paye etc..) ainsi aucun interet de pirater le switchqui gere les vlan...

Le FireWall (mnf) dans cette architechture a les roles de (passerelle, routeur, proxy) mais tu pourrais tout à fait le remplacer par un routeur simple en fonction de tes besoins (moins sécurisé à mon gout... mais possible).

Voilà, en esperant t'avoir aidé...

@+ Fabz
Avatar de l’utilisateur
fabzz007
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 339
Inscrit le: 13 Mai 2004 14:36
Localisation: Lyon

Messagepar Methos_Hi » 23 Juin 2004 10:57

Je ne comprends pas bien ton dessin. Où est le switch qui définit les vlan ??
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar fabzz007 » 23 Juin 2004 13:53

Code: Tout sélectionner
Réseau1      Réseau2            Réseau3
10.U.V.W/8   172.10.X.Y/16      192.168.254.Z/24
    |            |                  |
    |            |                  |
    |            |                  |
    |            |                  |
(VLAN1)      (VLAN2)        SWITCH INDEPENDANT
    ----SWITCH----
    |            |                  |
    |            |                  |
    |            |                  |
    |            |                  |
   eth0         eth1               eth2
  MNF (MULTI NETWORK FIREWALL) Firewall avec 4 cartes réseau
               eth3
                 |                   
                 |                   
                 |                   
                 |   
            MODEM ADSL
                 |                   
                 |                   
                 |                                   
             Internet



Es ce que c'est plus claire comme ça ? sinon je peux réexpliquer autrement....
Avatar de l’utilisateur
fabzz007
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 339
Inscrit le: 13 Mai 2004 14:36
Localisation: Lyon

Messagepar green_angel » 23 Juin 2004 14:10

Normalement pour sniffer, il faut pas de routage et pas de switchs; Ca peut sniffer que les broadcast/multicast dans ce cas là. Donc le vlan fou effectivement juste le ***** lors de descente de ghost/mise à jour. La config précédente est bien mais le firewall (MNF) doit forcément être une grosse machine si elle s'occupe en plus de faire les mises à jour et quelles gèrent d'autres choses comme les bases de données et sa config n'est pas forcément évidente. Cependant ce type de machine est nécessaire à chaque architecture (firewall). Bon , en fait là je parle pour ne rien dire ; Donc le mieux c'est créer un serveur de domaine et gérer les droits indépendemment (si windows groupes avec Active Directory....) sans se soucier des vlans en mettant un switch pour éviter un éventuel sniffeur.
|/\\/_\//\|
Avatar de l’utilisateur
green_angel
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 20 Jan 2004 01:00

Messagepar vanvan » 23 Juin 2004 17:52

dans mon cas j'ai le firewall en tête de réseau puis mon architecture en vlans derrières. Puis sur mon firewall j'ai autorisé que certaines plages d'adresses ( selon les vlans ) à sortir ou pas.
ça permet aussi de définir un vlan public, visible sur le net, et tout le reste en privé.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar Franck78 » 23 Juin 2004 18:44

Un critère qui te forcera à choisir c'est le cablage réseau.

Si tes bonhommes B sont répartis dans des bureaux avec l'autre équipe A, sauf a doubler le réseau, seule la solution vlan est possible.
Chaque point est affecté a l'un ou l'autre vLan.
Cela suppose bien sur que tes équipements actuel soit vlan d'origine !

Si maintenant l'équipe B est physiquement isolable (un étage, un bloc,...,) tu auras un choix plus élargi.

Alors décrit donc un peu le "physique" existant !

Quand au saturage de switch:
Si le vlan était mis en défaut par si peu, il n'aurait aucun intérèt.

vlan1 se mettra à fonctionner en hub s'il le doit. Mais seulement entre les ports affectés à vlan1 !


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar GozerX99 » 23 Juin 2004 19:46

vanvan a écrit:concernant les vlans je tiens à rajouter un bémol. En dehors du fait, que ça soit sympa pour la sécurité d'un réseau ça met un sacré bronx au niveau des images ghost car quand on broadcast une image ghost pour faire plusieurs ordinateurs. ça plombe le réseau pendant une dizaine de minutes mais du genre plus de net, plus moyen de toucher les différents serveurs. Alors sauf si mon cas est particulier et que quelqu'un me confirme le contraire, y a quand même des trucs à surveiller.

Je vais quelque peu m'écarter du sujet principal, en répondant à vanvan, mais bon ...

Effectivement, j'ai déjà vu ce symptome (sur 4 étages switchés, tout les accès bloqués pour 5 GHOST de postes, arf :( )
Sinon, faudrait voir du côté des protocoles utilisé par Ghost, car il y en a au moins 2 ou 3 d'après ce que je m'en rappelle, donc, peut-être qu'en en utilisant un autre, ca sature moins.



Sinon, concernant le problème de départ de Koub, je suis tout à fait d'accord avec fabzz007 ! (y a rien d'autres en dire, il a tout dit :lol: )
Avatar de l’utilisateur
GozerX99
Aspirant
Aspirant
 
Messages: 131
Inscrit le: 11 Juin 2003 00:00

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron