Architecture réseau personnel

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Architecture réseau personnel

Messagepar Eriks » 22 Août 2006 16:32

Bonjour,

Je souhaite installer un réseau local chez moi. Cela fait quelques jours que je lis ce forum et d'autres :-ooo: . Il me reste cependant quelques zones d'ombres...

L'architecture cible ressemblerait à ce qui suit :


FreeBox --- carte réseau n°1 --- Serveur Debian --- carte réseau n°2 --- Switch ----- PC 1, PC 2, PC 3
...........................................................|
......................................................Imprimante


L'objectif est le suivant :
* la Freebox ne me sert que d'accès Internet ;
* le serveur sert à partager la connexion, l'imprimante et des fichiers ;
* chaque PC a accès à Internet et aux mels ;
* le serveur fait serveur mel IMAP ;
* le tout est parfaitement sécurisé :wink:


Les questions que je me pose encore sont les suivantes :

Q1 : Puis-je en toute sécurité mettre un serveur web sur le serveur (comme le fait SME) ou dois-je impérativement avoir un 2nd serveur dans une DMZ ?

Q2 : Je ne souhaite pas faire de filtrage sur les sites web, ni de gain de bande passante : un proxy peut-il tout de même être utile ?

Q3 : J'envisage d'acheter un point d'accès pour que les PC aient une connexion Wifi : à quoi dois-je raccorder ce point d'accès (au serveur, au switch,...) ?


Merci d'avance pour vos réponses
Eric
Eriks
Matelot
Matelot
 
Messages: 3
Inscrit le: 22 Août 2006 15:51

Messagepar jdh » 22 Août 2006 17:49

Avant de répondre, il y a 2 façons de configurer la Freebox : en routeur ou en "bridge".

Dans le premier cas (routeur), ce qui est derrière la Freebox (ici Debian) sera en adressage privé du type 192.168.0.x. Il faudra de plus faire des redirections ET sur la Freebox ET sur Debian le cas échéant. Cela ne donne pas fondamentalement plus de sécurité.

Dans le deuxième cas (bridge), le serveur Debian sera SEUL connecté à la Freebox, devra être configuré en DHCP et disposer d'un firewall (par exemple Shorewall et la config 2 cartes). Là tout est géré sur la Debian ce qui est à la fois plus simple et plus dangereux pour un newbie.


Q1: On peut faire les 2. Une deuxième serveur est plus sur, en toute logique. Mais qui dit 2 serveurs, dit 2 machines, dit plus d'électricité, bruit, et tout et tout. De toute façon, pour un particulier sérieux, on ne peut prévoir un "gros" serveur très populaire mais plutôt un petit serveur à usage familial. Donc le serveur Web peut être installé sur le serveur Debian selon l'usage, les moyens et les contraintes.

Q2: Bien sur qu'un proxy est intéressant même sans son complément naturel SquidGuard ou autre DansGuardian. La tentation est de mettre alors un Webalizer et de regarder ce qu'il se passe. Et là c'est l'engrenage façon Big Brother.

Q3: Encore une question de choix ! Soit une seule carte ethernet pour le lan et un point d'accès (un routeur sans la prise wan, c'est moins cher), soit 2 cartes, l'une pour le lan et l'autre vers le point d'accès. La différence vaut donc une carte + quelques lignes dans Shorewall. Ca va pas loin. Mais si on a bien compris comment sécuriser son point d'accès Wifi (WPA obligatoire ou mieux), le premier choix reste plus simple.


Remarque :
- une bonne URL pour installer un système de mail multiples : http://workaround.org/ (en plus c'est sur Debian),
- "parfaitement sécurisé" est un souhait ou un but mais pas une réalité ....
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar the_Sphinx » 22 Août 2006 18:30

Salut,

1- Si ton serveur fait serveur mail (IMAP), il est donc en DMZ, et il peut donc faire serveur Web.
Juste bien paramétrer le NAT et le firewall sur les bons ports / hôtes réseau.

2- un proxy est utile généralement pour faire cache (éviter de toute retélécharger), bloquer des éléments sensibles (scripts, types de fichiers, etc), gérer (filtrer), filtrer ce qui sort sur le web (ex : seul le port du proxy a l'accès au web, et avec authentification), etc.
Vu que tu ne veux ni faire un cache, ni faire de filtrage, je ne vois pas trop l'utilité.

3- il me semblerait logique de brancher ton point d'accès 802.11 sur le switch : équilibrage des brins réseau, meilleure gestion des différents réseaux, et donc meilleure disponibilité des ressources.

M'enfin ce n'est que mon humble avis...

@+++
--
Sphinx, le prédateur du bug ;)
the_Sphinx
Second Maître
Second Maître
 
Messages: 42
Inscrit le: 19 Nov 2005 02:56

Messagepar jdh » 22 Août 2006 21:04

SME couvre en un seul PC Firewall, Mail, Web, cache. Donc on peut le faire. Et quand on a peu de moyens, quand on ne veut pas d'une salle "nasa", on peut choisir cette solution. Ou on peut choisir de monter soit même un solution un peu semblable à partir d'une distribution standard. C'est même motivant et source d'enrichissement pour peu que l'on soit curieux, la principale qualité d'un informaticien.

Quel(s) défaut(s) peut avoir un cache ? Cela économise à tout coup l'utilisation de la ligne.

Par ailleurs, la (seule) question pour le Wifi, c'est d'avoir un ou 2 réseaux internes. Parce qu'un réseau Wifi c'est crackable : par exemple en WEP on parle maintenant de moins d'une minute ! Et la seule réponse, si on est un peu (beaucoup) parano, c'est de faire 2 réseaux.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Eriks » 23 Août 2006 13:41

Merci pour toutes ces réponses !
Je vais creuser encore un peu, mais je pense partir sur 1 seul serveur et refaire en perso sous Debian ce que fait SME en standard :P

Bonne journée
Eric
Eriks
Matelot
Matelot
 
Messages: 3
Inscrit le: 22 Août 2006 15:51


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron