Conseil RESEAU

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Conseil RESEAU

Messagepar xxutm » 06 Jan 2005 21:56

Jvous ai fai un tit dessin pour vous que vous voyez ca mieux :
Image

Le HUB 1 et le serveur magasin, sont pour un usage profession.
Le serveur maison et le HUB 2, c'est pv.

Les deux communiquent par un cable. L'ensemble du reseau est cablé. Les differents traits sur le routeur correspondent au pc (il y en a plus).
Le Serveur Magasin est sous Windows XP.
Le Serveur PV va etre sous linux (jvais bientot le récuperer et le formater)
Le routeur a donc un firewall.
Est ce que vous pensez que ce firewall suffit ou il en faut d'autre ? Moi je voulais installer un vieux pc que j'aurai dédié FIREWALL avec une version de linux qui fait ca. Dans ce cas la, ou je dois le brancher ? sur quel HUB ? a Quel endroit ?
Pour ce connecter a internet on devra passé par lui ? ca ne risque pas de ralentir le reseau ? Ca marcherai comme un proxy ?
Ou suffirai-til juste d'installer un firewall sur un des 2 serveurs ?

Si je veut bloquer un pc, je ne veux pas qu'il aille sur le net ? comment je dois faire ? (les utilisateurs se débrouillent un peu donc les symple combine de mettre un proxy bidon, ca marche pas) je voudrai un programme pour bloquer les IP internes (192.168.0.***) ? on m'a parler de IPtables ? Comment ca marche physiquement pour bloquer l'acces ?

Merci de votre aide et de vos conseils
xxutm
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 27 Déc 2004 14:45

Messagepar micjack » 06 Jan 2005 22:07

Salut,

Ca en fait bien des questions en vrac...

Tout cela est realisable, mais commence par te trouver cette vielle becane, installer IPCop et reposer le reste des questions par la suite.. :wink:

Genre "ca y'est, j'ai fini dinstaller mon par feux et je me connect au net de mon reseau, maintenant comment puis je faire pour.....blabla"
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar xxutm » 06 Jan 2005 22:19

j'ai oublié de preciser que j'en ai une a dispo... mais je voulais savoir cmt ca marché avt de faire quoi que ce soit...
xxutm
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 27 Déc 2004 14:45

Messagepar micjack » 06 Jan 2005 22:29

Serieux, cela ne s'explique pas comme ca... Cela demande de la recherche personnel avant tout, on est tous passé par la avant tout...

Y'a pas mal de doc sur IPCop, sur Iptables sur les proxy ...etc

En gros il te faut une machine, installer IPCop, puis tout le reste se gerera au besoin par du routage (iptable à la main si il le faut) ainsi effectivement avoir besoin du proxy inclus dans IPCop (Squid dans tes recherches)

Bon courrage :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar xxutm » 06 Jan 2005 22:48

jvais essayer mais ca risk d'etre dur et long, c'est une bible ce site !!!
xxutm
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 27 Déc 2004 14:45

Messagepar micjack » 06 Jan 2005 22:51

Effectivement, dur est long.... Mais gratos, y'a rien de tout cuit dans la vie :wink:
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Franck78 » 06 Jan 2005 22:56

L'intro du site habituel pour changer:
Vous disposez d'une connexion permanente et rapide...


Et maintenant, vous êtes perdu dans la technique...


Les réseaux TCP/IP,
le transport d'informations à travers le monde,
les problèmes de bande passante, de PPPoE, de DNS,
le courrier électronique,
la sécurité, la connexion partagée...


http://christian.caleca.free.fr
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar xxutm » 06 Jan 2005 22:58

hey ben je pense que je vais passé mon w-e a lire :?
xxutm
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 27 Déc 2004 14:45

Messagepar micjack » 06 Jan 2005 23:21

Par contre si cela te prend le tete, (chose que l'on a pas parlé) rien ne t'empeche de rester sur ton Firewall materiel..

Il te ferra tes connexions au Web, ainsi que le partage internet de tes deux acces, avec une "certaine securité", mais pas modulable comme tu le souhaite.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar xxutm » 07 Jan 2005 00:32

oui je vois mais est-ce que le faite de rajouter une machine dedié pour firewall ajoute une secu suplémentaire ou ca suffit de mettre un firewall sur le serveur pv ?
xxutm
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 27 Déc 2004 14:45

Messagepar micjack » 07 Jan 2005 00:47

Bon aller, tu pose les vrais questions de depart ... :wink:

Il est evident vu ton architecture, que le Firewall doit etre sur magasin...

Peu importe si c'est un firewall materiel ou base Linux pour un acces au net... Mais tu aurra certe, une meilleur secu avec un Linux dedié, car modulable, puis une forte communauté d'entraide....
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar neox » 08 Jan 2005 16:33

en fait tout depend de ce que tu veux faire

1°) tu veux proteger les 2 zones des attaques exterieures, tu placera le parefeu entre le routeur et le hub (voire meme c'est le routeur qui fait deja parefeu)

2°) tu veux eviter que les PCs maison voient les PCs magasin et inversement tu mettra le parefeu entre les 2 hubs

3°) tu veux proteger le serveur magasin contre les attaques venant du reseau (hub1 ou reseau maison, selon les choix precedents) tu le placera entre hub1 et serveur
Avatar de l’utilisateur
neox
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 179
Inscrit le: 29 Fév 2004 01:00

Messagepar svart » 08 Jan 2005 22:07

Salut,

J'ai lu le post et ma réaction c'est de manquer d'éléments fonctionnels. A priori, tu as un réseau magasin, qui tourne déjà. Tu es protégé par un routeur/firewall. Je ne sais pas si tu administre déjà ce firewall ou bien si tu n'as pas accès à sa configuration. S'il s'agit d'un magasin et que des données confidentielles transitent sur ce réseau, la sécurité n'est pas à prendre à la légère. Donc la première question c'est : le firewall en place est-il suffisant ? As-tu besoin de modifier des éléments de configuration pour des requêtes particulières ? As-tu différents types d'utilisateurs qui ont besoin de niveaux de sécurité différents ?As-tu besoin d'un filtre antiviral, antispam, de détecteurs d'intrusion, ou même simplement de journaux ou d'alerte ? Envisager cette question te permettra d'y voir plus clair sur ce que tu veux obtenir. Ajouter un Ipcop ou une MNF en entrée de réseau permet de moduler les services à sa guise (en contrepartie d'un peu de temps, bien sûr).

Ensuite, tu as déjà ou bien tu vas installer un reseau maison. Les mêmes questions s'appliquent à ce réseau et notamment aux échanges entre les deux réseaux. Veux-tu pouvoir récupérer des infos sur le Magasin depuis la Maison ? Ou au contraire les interdire ? Si tu veux gérer finement les accès, tu devras peut-être alors installer une passerelle entre les deux réseaux, de façon à ce que n'importe qui de Magasin n'aille pas sur Maison et inversement. Si au contraire tu veux tout échanger, alors ce ne sont pas deux réseaux distincts, mais le même, avec même plage IP etc.

Prends en comptes les besoins fonctionnels (type d'utilisation, impératifs), les contraintes légales (vis-à-vis des comportements autorisés du personnel ainsi que des informations confidentielles, il faut savoir que tu es responsable des infos nominatives des clients par ex), les contraintes budgétaires, évalue le temps que tu peux y consacrer : au final avoir une idée générale de ton objectif. Car il n'y a pas d'architecture idéale, elle dépend de ce que tu veux faire. Tu pourras alors poser alors des questions spécifiques pour résoudre tel ou tel problème sur le forum et tu auras des réponses spécifiques.

Pour ma part, je te conseille de prendre une semaine pour seulement te documenter, sur des sites et des forums, voir des exemples, défricher le jargon, comprendre de quoi il retourne : ça te sera très utile pour la suite. Utilise google c'est épatant : il y a quantité d'info sur ces sujets ! Regarde aussi dans les forums Mandrake et IPCop : au début tu as des posts-its où les talentueux admins d'Ixus ont repertorié des tas de liens pour ce genre de situation. Ce serait dommage de ne pas les utiliser !

A+

S
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar xxutm » 09 Jan 2005 13:58

Merci bcp pour cette réponse détaillée...

Alors en effet, depuis que j'ai posté pour la premiere fois, je me suis bcp documenté.

Les deux reseaux existent deja. Je rajoute juste le serveur maison. Le routeur est un routeur/firewall mais peut modulable :

Réseau magasin :
Je n'ai pas l'administration sur le routeur.
Il n'y a pas besoin d'avoir des niveaux de sécurité differents mais j'ai besoin d'avoir un firewall bcp plus modulable ne serai-ce que pour attribuer des ports a differents pc pour la tele-assistance notamment. Il serait preferable que les utilisateurs du reseau magasin ne voyent pas les documents du reseau maison. (mais ce n'est pas une necessité).

Réseau Maison :
J'installe ce serveur afin de pouvoir partager l'ensemble des données maison polus facilement. (photos, vidéo, mp3, etc...) Je vais egalement y installer un serveur mail (pour avoir des emails : xxutm@nomdefamille.com), un serveur web (pour diffuser mes site web facilement (tpe etc)), un serveur ftp (pour partager des fichiers spécifiques avec des amis).
Effectivement j'ai besoin d'acceder au info magasin de la maison. (juste sur 1pc)

En faite seul 1 pc a besoin de voir les infos des 2 réeaux. CE pc est situé sur le reseau maison.
A l'heure actuelle, les 2 reseaux partages la meme plage IP : 192.168.0.***.
Question 1 : Est-ce une bonne idée de faire 2plages ip : 192.168.1.*** et 192.168.2.*** (par exemple) comme ca il suffirai juste de configurer les pc qui ont besoin d'acceder aux infos des 2 reseaux ? Attention le reseau maison se connecte a internet par le bié du routeur qui est sur le reseau magasin.

En ce qui concerne le firewall, je me suis renseigné et je pense que la meilleur solution est de l'installer entre le routeur et le hub1. Il me filtrerai toutes les entrées/sorties vers Internet. C'est ce que j'ai besoin avt tout. Il me permettrai egalement de bloquer l'acces a Internet de certain pc du reseau. (Iptables). Je vais dédié un vieux pc, j'y installerai IpCop ainsi que 2cartes Ethernet (Entrée-Sortie). Il me servira de Firewall et de serveur DHCP (a la place du routeur). Question 2 : vous en pensez quoi ?

Et enfin : Le serveur magasin tourne sous Windows XP (installer par une entreprise qui nous a vendu le logiciel de Gestion Commercial) surement preferable pour leur base de données. Le serveur maison lui tourne sous SME. Je l'ai installé il y a quelques jours mais je ne l'aime pas trop (petit pb de config, comme le partage de certain document sur le serveur, l'ajout d'un DD externe,ect...).
Question 3 : Que pensez vous, si j'installe Windows Serveur 2003 (plus facile pour moi je connais bcp plus Windows que linux) ? Sachant que je voulais installer linux pour la securité mais le firewall s'en occupe deja... Windows Serveur 2003 me permettra de faire un serveur mail + serveur web + serveur ftp (ca je sais) facilement ? (Sans parler de la license pour l'instant).

Merci bcp pour toute votre aide...
J'avance, j'avance...
xxutm
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 27 Déc 2004 14:45

Messagepar svart » 09 Jan 2005 15:38

Salut,

D'abord une question : le routeur en entrée, qui l'a installé ? La société qui s'occupe de la maintenance ? Si oui, ils doivent avoir accès à la télé-maintenance, ou bien est-ce un souhait pour le futur ?

Pour répondre à tes questions :

Question 2 : pour protéger tes deux réseaux, installer IPCOP entre le routeur et le Hub est la meilleure et la plus simple des solutions. A voir : il faudra modifier la config du routeur afin qu'il fasse du DNAT (sauf erreur) et ne bloque pas les requêtes, mais les dirige vers la passerelle. Et oui : si le routeur bloque les requêtes, ton Ipcop ne servira à rien. Il faut que le routeur autorise tout en entrée, tout en sortie, et fasse le NAT. C'est assez sécurisé, car en plus le routeur va limiter dans le temps les ports ouverts puis restés inactifs (du moins chez moi ça marchait comme ça, à voir avec ton FAI).

Question 3 : Je vois là une contradiction. Tu veux installer IPCop en entrée de ton réseau, l'administrer. Paralllèlement, tu abandonnes SME pour des questions de configuration. Et je me dis : si tu n'arrives pas à maîtriser SME, tu n'arriveras pas à manipuler IPCop (sachant que ce dernier est à une place beaucoup plus critique que SME). Je t'encouragerais plutôt à mettre "les mains dans le cambouis" avec SME (ou une autre distribution Linux comme Red Hat) histoire d'apprendre un maximum de choses sur GNU/Linux,AVANT d'installer IPCop. Comme ça tu te sentirais à l'aise au moment de mettre en oeuvre une sécurité réseau qui te sera propre. Bien sûr il s'agit de mon opinion, Win2003 fera très bien l'affaire techniquement, mais quand on pense administration réseau il faut aussi penser ressources et compétences.

Question 1 (enfin :) ) : étant donné tes précisions sur ce que tu souhaite obtenir, je ferais l'architecture suivante :

Internet
|
Routeur
|
Ipcop (Iptables, DHCP reseau magasin, eventuellement filtrage viral)
|
Hub 1 ----- Reseau Magasin + serveur XP
|
Distrib Linux Sécurisée (SME : ftp, SMB, DHCP reseau Privé, Web, Mail,DNS)
|
Hub 2 --- reseau Privé


Je m'explique : chaque réseau a son DHCP et sa passerelle. Ils sont donc scindés et tu peux dès lors en controler tous les échanges. Tu peux limiter l'accès au réseau Magasin depuis le réseau Privé. Tu peux accéder aux données contenues sur le serveur Privé depuis n'importe quel endroit (magasin, privé, web) - à condition d'en avoir les droits (SME est bien pratique de ce point de vue). Tu peux en utilisant la plage IP utilisés créer des règles d'accès particulières et disposer d'un serveur Mail interne pour les deux réseaux.

Bien sûr cela demande un peu de configuration mais je pense que c'est robuste et modulable. Enfin, évidemment je ne suis pas objectif ! :lol:

A+

S
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron