Débutant: conseils sur architecture utilisant IPCop

[rozier]

Bonjour,

Je suis étudiant et je travail sur un projet de liaison entre deux réseau indépendants jusqu'à maintenant. J'ai eu que peu de cours de réseau, tout n'est pas encore très clair, merci de votre indulgence.

Dans ce projet il est donc question de relier deux domaines, l'un critique l'autre non, par un troisième domaine dans lequel on trouve un serveur de fichier qui permettra de transferer un fichier du domaine 2 vers 1 de manière sécurisée. Voici un schéma de synthèse que j'ai réalisé:





Le lan bureautique est un réseau bureautique classique. Depuis ce réseau, on souhaite poser des fichiers sur un serveur de fichier qui se trouve sur le lan service. Sur le lan administration on retrouve une machine qui permet l'administration et la supervision des pare-feu et du serveur de fichier du lan service. Après analyse anti-virus et examen du fichier, on pourra le transférer du serveur de fichier, vers le lan critique qui nécessite un niveau de sécurité élevé.

Est-il possible d'utiliser un PC IPCop avec plusieurs cartes reseau comme décrit sur le schéma (du genre eth0 rouge / eth1 et eth2 vert sur IPCop 1) ou faut-il l'utiliser obligatoirement comme pare feu 2 ports suivi d'un équipement réseau? Le PC IPCop s'occupe-t-il du NAT/PAT (auqel cas un répartiteur suffirait) ou pas (besoin d'un routeur)?

[ccnet]

Une grande partie des réponses à vos questions : http://forums.ixus.fr/viewtopic.php?t=24737

[rozier]

Une grande partie des réponses à vos questions : http://forums.ixus.fr/viewtopic.php?t=24737

Oui bon... Quand on intervient sur un forum on doit s'attendre à "mais tout est écrit sur cette page http://... ou à "Google est ton ami". En l'occurence j'avais lu ce document, qui ne m'avait pas éclairé. Mais peut-être n'y ai je pas décelé les passages importants.

La seule réponse, que j'avais justement envi d'avoir de facon plus complète, c'est qu'on peut utiliser autant d'interfaces que de couleurs prévues dans IPCop? Ce qui me gêne, c'est qu'outre les interfaces verte et rouge, elles sont initialement décrites comme réservées à des applications bien précise (WiFi, DMZ etc). Ce qui m'intéresserait de savoir c'est si au final, on peut utiliser chacune d'entre elle pour un lan différent et comme on veut, auquel cas la configuration la plus courement décrite serait un cas particulier. Mais au regard de ce que j'ai lu, on ne peut pas exploiter l'interface bleu comme une deuxième interface verte. Mais je crois que je devrais tout de même parvenir à régler le problème en mettant mon FTP en DMZ, même si je n'avais pas prévu de faire comme ca.

Merci de l'intérêt que vous aurez porté à mes questions.

[Franck78]

Je suis étudiant et je travail sur un projet de liaison entre deux réseau indépendants jusqu'à maintenant. J'ai eu que peu de cours de réseau, tout n'est pas encore très clair, merci de votre indulgence.

Pour remédier à cet état de fait, il y a ce site et bien sur du travail perso....

http://christian.caleca.free.fr

Pour les questions généralistes sur IPCop, oui c'est google ou ixus car c'est gonflant d'écrire 20 fois la même chose
Il y a aussi, pour mémoire, l'IRC freenode #ipcop, ma fois relativement actif. Tout à fait adapté aux questions générales comme très pointues.


bye

[rozier]

http://christian.caleca.free.fr

Ce site est vraiment excellent, j'ai beaucoup apprécié qu'il soit vraiment accessible. Merci!

[jdh]

Pourquoi diriger rozier vers Christian Caleca sans lui dire la raison de ce conseil ?

Ce que les habitués ne comprennent pas dans le schéma proposé, c'est l'incohérence d'un schéma comportant 4 zones et 2 firewalls.

Il faudrait expliquer l'incohérence de passer au travers de 2 firewalls pour passer de "bureautique" à "critique" à moins qu'on ne puisse pas aller de l'un vers l'autre. Il faudrait expliquer l'incohérence de positionnement d'IPCOP2 : "bureautique" est-il le Red de ce firewall ?

Je pense qu'il faut encourager rozier à simplifier son schéma (bref à penser "plus simple").

On peut penser qu'un firewall à 4 pattes serait mieux adapté. Et IPCOP n'est pas prévu pour ça. Mais c'est plutôt pour des distributions comme MNF, PfSense (ou une bonne Debian avec Shorewall).

Bref pensez simple, donc le passage par Christian Caleca est indiqué.

[merlin2000]

bonjour a tous et a toutes

juste pour reagir sur le poste d'origine et non pour donner un solution (ca au moin je suis claire)


j'ai deja vu ce type de shemat dans une des boites ou je suis passe.


pour mon cas nous avions voulu regrouper mutualiser tous les services suite a plusieurs rachats de societes.
je ne suis pas intervenu sur les serveur mais sur le travail preparatoire au remaniment du l'infrastructure ( que du bonheur).

je te souhaite un bon courage pour ton projet.

[merlin2000]

un up de plus


petite question ou suggestion


et si tu montais plutot sur une dorsale commune tout tes parefeux de services

|<===== la dorsale commune
|
|
|
|
|----ipcop--- (service1) la bureautique
|
|
|
|
|
|----ipcop---(service2) lan service
|
|
|
|
|
|----ipcop---(service3) l'administration
|
|
|
|
|----ipcop---(service4) lan critique
|
c'est une idee pas la meilleur je m en doute bien, mais comme cela toutes tes sonzes sont hermetiques suivant les ports que tu ouvre ou pas.

[rozier]

Merci Merlin pour l'intéret porté à mon post.

Apparement ma remarque sur "google est ton amis" à marqué les esprits... Je ne voulais pas être désagréable. C'était juste pour préciser que j'avais deja fait un max de recherches de mon coté sans pouvoir mettre les choses au clair, et les réponses que j'ai eu on été d'une aide précieuse. Mais passons.

Ton idée est intéressante car elle est intuitive et qu'elle résoud certains de mes problèmes. Je vais y réfléchir, car il faudrait tout de même ajouter un PC supplémentaire. D'autant plus que l'on m'a parlé du plugin BOT qui remanie les règle prédéfinies par IPCop sur les diverses interfaces. Du coup, je pourrais utiliser l'interface bleu comme bon me chante. A voir. Je suis novice il faut que je fasse des essais. Mais je ne manquerais pas de clore ce sujet une fois que j'aurais terminé mon travail.

[merlin2000]

re

ne t'inquiete pas je ne vois pas d'offence en ta reponse.

le seul hic a mon idée est la masse de donnees sur la dorsale commune (usage de carte gigabites)

[jmripert]

Salut,

Ton dessin est clair visuellement, mais techniquement il est très loin de l'être. Donne ton sujet de base (pas ton interprétation), ce sera plus simple pour te donner des pistes/idées sur le sujet.

Il y a sûrement moyen de simplifier le tout comme dit plus haut... Garde en tête qu'en sécurité vaut mieux faire simple sinon triptique .

@+
JeanMarc

[rozier]

Salut,
Ton dessin est clair visuellement, mais techniquement il est très loin de l'être. Donne ton sujet de base (pas ton interprétation), ce sera plus simple pour te donner des pistes/idées sur le sujet.

Salut,

J'étais reparti dans un schéma, mais comme tu l'as dit, faisons au plus simple.

On considère donc deux réseaux indépendants. Le premier que j'ai appelé critique est composé de divers équipements à protéger. Le deuxième que j'ai appelé bureautique est un réseau d'entreprise classique. Le problème, c'est que les personnes s'occupant du réglage et de la mise à jour des équipements passent leurs fichiers du domaine bureautique au domaine critique par clé usb ou cd, ce qui est loin d'être idéal.
Mon projet a donc pour but d'étudier la meilleure solution, afin de créer un nouveau domaine intermédiaire dans lequel se trouverait un serveur de fichier équipé d'un antivirus, par lequel tous les fichier de config seraient obligés de transiter. Il faut également une machine d'administration, pour ce serveur qui n'aura pas d'interfaces H-M, ainsi que pour administrer et superviser les équipements réseau. Serveur et poste d'administration ne doivent pas être sur le même sous-réseau, afin de protéger d'une part la machine d'administration, et d'autre part pour se préparer à accueillir d'autres projets qui pourraient utiliser des données du réseau critique à l'avenir.

N'hésite pas à m'écrire si quelque chose n'était pas clair.

[jmripert]

Le serveur de fichier : est-il génant de le mettre dans ton espace bureautique ?

Si non

Code: Tout sélectionner

espace critique ---------- (green)ipcop+bot(red) ---------- espace bureautique

Si oui (pourquoi ?)

Code: Tout sélectionner

espace critique XXX ---------- (green)ipcop+bot(red) ---------- espace fichier ---------- (red)ipcop+bot(green) ----------  espace bureautique

Dans les 2 cas ton poste d'administration devrait pouvoir se trouver dans ton espace bureautique.

L'espace critique côté green de l'ipcop comme ça rien ne rentre par défaut, ensuite bot pour bloquer la sortie, puis tu autorises qui peut rentrer et d'où, puis pourquoi/quand/comment...

Dans le 2e schéma l'espace lan est du côté rouge de chaque ipcop, ainsi ce "truc" ne peut aller nulle part, sauf autorisation.

[rozier]

Merci pour tes conseil et voici quelques précisions:

- FTP et Administration sont derrière un pare-feu pour les protéger. Le LAN dit Bureautique est vraiment important et hors de controle. Si quelqu'un met la main sur le FTP, il pourrait corrompre les fichiers de config qui y transitent. Moins grave, un déni de service est tout de même à éviter. Par contre, le controle d'Admin (administrant les IPCop et le ftp) permettrait d'ouvrire une brêche entre Bureautique et Critique.
- De même, FTP et Admin doivent également être isolés l'un de l'autre, pour qu'une éventuelle prise de contrôle de FTP qui est potentiellement vulnérable, ne puisse permettre un accès à Admin. J'avais donc envisagé la séparation en un lan Gestion pour l'Admin, et un lan Service pour le FTP.

Je ne suis pas un spécialiste de la sécurité réseau, je ne peux donc pas vraiment évaluer les risques. Je suis conscient que cette archi peut parraitre lourde, mais j'ai voulu faire en sorte que la sécurité soit maximum. Mais peut-etre suis-je dans l'erreur... Dans tous les cas, ce projet est un essai dans le cadre de mon stage qui ne sera jamais effectif, ce qui ne rend pas son étude sans intérêt pour autant.

[jmripert]

C'est peut-être le côté "étude" qui m'empêche de bien t'aiguiller mais bon, voilà un dernier truc...

ftp = serveur de fichier ? en montant une distrib avec le strict minimum et ses petites règles de sécurité cela devrait être pas mal, ensuite sur les 2 ipcops qui l'entoure tu mets bot histoire de vérouiller totalement l'accès...

admin = pourquoi une machine dédié ? si c'est tellement critique pourquoi pas un portable que tu allumes et branches à chaque utilisation ? lourdingue mais niveau sécurité y'aura pas mieu...

Tu devras de toute manière faire "confiance" aux outils logiciels utilisés mais le mieu reste la sécurisation physique, un poste éteind est difficilement attaquable tout comme un réseau dont le hub serait éteind par coupure de courant. Genre tu laisses ton réseau de "transfert" accessible uniquement de telle heure à telle heure...