Architecture réseau et sécurité

[barbouz]

Bonjour,

Voilà je voudrais reorganiser le réseau de ma boite pour permettre d'installer
entre autre un serveur FTP/WEB, et a long terme un serveur mail et d'autres
services accessible depuis internet. Pour l'instant je cherche la solution idéal
d'un point de vu sécurité avec quelques conditions :

- le réseau interne est séparé en 3 et il faut que l'on puisse controler les interactions
entre ces LANs.
- ce que j'aimerais c'est avoir un seul serveur LDAP qui contiendrait les utilisateurs pour
tous les services (utilisateurs mail, ftp, login de samba, etc...).

Dans ce but j'ai imaginé le réseau suivant :



Donc pour les questions de flux, les lans accedent a la zone intermediaire pour le proxy
et la base LDAP et a la DMZ pour le reste.
La DMZ accede a la zone intermediaire uniquement en lecture sur certaine partie de l'arbre LDAP, pour
les authentification.
Tous les flux vers la base LDAP sont cryptés (TLS).

Ce schéma vous semble t'il bon, quels sont les autres solutions que vous pouvez me conseiller ??
Qu'est ce que vous en pensez d'un point de vu sécurité ??

Merci pour vos réponses.

[gregory.legrand]

Je ne vois pas l'utilité de ton deuxième firewall....car je pense que pour la zone "LDAP" et LAN 1, 2 et 2 ce sont les memes règles de sécurités...soit tout fermés et ports 21, 80, 110 et 23 ouvert...

Ensuite tu créé des vlan pour tes lan 1 ,2 ,3...afin qu'ils soient isolés du reste du réseau.....

moi c'est ce que je pense, maintenant ta solution est peut etre bonne aussi dans le concept mais aussez lourde à mettre en place au niveau du deuxième firewall...

[barbouz]

Merci pour ta réponse

A priori les regles vont être quasiments semblables oui, mais cette machine (firewall 2) va aussi servir a filtrer les flux entre lans, par exemple le lan 1 peut acceder au serveur de fichier du lan 2, mais le lan2 n'a pas acces au lan 1, etc...

Et le firewall 2 sert surtout a cloisonner aussi la zone intermediaire, vu que je dois laisser l'acces DMZ->ZONE INTERMEDIAIRE pour acces a la base LDAP, il me semblait utile de verouiller l'acces ZONE INTERMEDIAIRE -> LAN.

Mais sinon les vlans ca implique aussi un routeur entre vlans non ?
Est ce que le filtrage est possible ??
Et au final cette notion de zone intermediaire est-elle judicieuse ?? Je me vois mal mettre
la base LDAP qui est quand même critique dans la DMZ et dans le LAN encore moins vu que la DMZ y accède...

Ca me tracasse Merci pour vos idées

[gregory.legrand]

En effet il faut un routeur pour les vlan 's...

Mais je n'avais pas vu l'interet de faire comme tu avais dit au début manque d'explications...

Mais je pense que ta solutions est plutot bonne... Mais le tu as intéret à bloquer l'acces à ta base ldap en lecture...car vu que la dmz y a accès...

sinon ton archi est bonne... je n'aurais jamais pensé à faire comme ca... mais moi j'ai pas plusieurs LAN à gérer ;-p

ton idée de2ème firewall est bonne!
manque plus qu'à tout paramètrer!!!

[tomtom]

Il faut evidemment deux firewalls pour une architecture digne de ce nom si tu souhaites isoler des services.

Il faut voir la zone entre les deux firewxalls comme une seconde DMZ.

Le fait que tes services web aient besoin d'un accès lecture au LDAP t"oblige à agir ainsi.

Ce qui pourrait être interresant (question de moyens), c'est que le LDAP en DMZ soit un esclave (donc lecture seule bien sur !) et que le maitre soit en lan privé, avec replication vers l'esclave.
D'une part, cema permet de mettre une machine "légère" en DMZ (pas besoin de grosse perfs pour la lecture), et d'autre part cela te permet en cas d'attaque réussie eur la DMZ de le debrancher simplement et de continuer à bosser en interne !

L'architecture est bien pensée !



Pour gregory : les vlans ne sont pas un equipement de sécurité !

Si on peut avoir un firewall à plusieurs branches et des réseaux isolés, il ne faut surtout pas s'en priver.
Les vlans sont un moyen de faire l'economie de 3 switches, mais garre à l'erreur de config !



t.

[gregory.legrand]

Je n'ai pas dit que les VLAN permettent de faire de la sécurité...

Jai juste dit que cela permettait d'isole ses LAN 1, 2 et 3!!!!

Mais avec ce qu'il m'a dit aprés (pas les meme règles sur chaque lan...) les VLAN ne servait pas tro...

au début je croyais juste qu'il avait trois réseau différents et qu'ils avait tous la meme olitique de sécurité

[barbouz]

Pour le second LDAP esclave en DMZ effectivement apres c'est une question de moyens.

Merci a tous.
Ya plus qu'a !!