choix d'une architecture réseau

[younes85]

Bonjour

le capmus dans lequel je dois faire l'architecture possède un réseau nomme "académique", ou les étudiants et les profs peuvent aller sur internet et accéder à leur dossiers personnels, via une zone tampon (DMZ), en effet je souhaite mettre en place fail-over et load balancing sur notre internet de 20MO/bits pour s'assurer la disponibilité d'internet au cas d'une incident, je veux savoir si j'ai besoin des équipements spécifique pour cette procédure, je pense qu'il nous est nécessaire de disposer aussi de 2 lignes internet : ligne de type SDSL pour construire le VPN ( à réaliser) pour les clients nomades, l'autre pour la navigation (ADSL basique 2mo garanti).

je demande votre aide pour plus d'éclaircissement

[shwing]

pour faire court, opte plutôt pour pfsense.com (mieux que ipcop pour le failover etc...)

[ccnet]

Même avis. A la lecture de vos besoin, ipcop ne fera pas l'affaire. Pfsense oui de façon standard.

Un commentaire sur la proposition montrée dans votre schéma.
Il n'est pas indispensable d'utiliser deux firewalls en cascade. Ce serai même plutôt à éviter. Trois translation c'est beaucoup de complications et d'erreurs potentielles nuisibles à la sécurité.
Une machine avec Pfsense, placée derrière le routeur fera l'affaire. Elle comportera deux interfaces pour la connectivité internet selon le schéma que vous avez expliqué. Une interface pour la dmz (web, ftp, mail) et une quatrième interface pour le lan. C'est une configuration possible mais offrant une niveau de sécurité moyen. La faiblesse de cette première solution est lié à l'exposition directe des serveurs mail et web vis d'internet. Une architecture plus robuste comporterait deux dmz. L'une interne, l'autre externe. C'est dans la dmz externe que l'on placerait un relai smtp (typiquement un Postfix) et un reverse proxy (firewall application sur http) typiquement Apache avec mod_security (voir Vulture). Le proxy permettant l'accès à Internet serait en dmz interne. D'une façon générale l'idée est de segmenter le trafic.
1. Tout le trafic entrant est acheminé en dmz externe.
2. Tout le trafic sortant venant du lan transite par la dmz interne.
3. Aucun service n'est en contact direct avec internet
4. Le firewall assure le filtrage et la sécurité sur la couche 3 et 4
5. Les proxy et autres relais fournissent la sécurité applicative dans le protocole considéré (ftp, smtp, http, etc ...)
Dans ce cas la machine Pfsense utilisera 5 interfaces. Des Vlans en dmz peuvent avoir un rôle à jouer pour empêcher (limiter) tout rebond d'une machine à l'autre.
Si nous avons des systèmes Microsoft il y a d'autres précautions utiles à prendre.

[younes85]

merci pour ta réponse

mais j'ai un autre souci, comment positionnés les deux DMZ, comme tu la dit il aura beaucoup de translation d'adresses, donc il contradictoire de segmenter le réseau par l'ajout d'une nouveau dmz.

une autre question, si je met le lan derrière la dmz, donc j'ai besoin seulement de 4 interfaces.

[ccnet]

mais j'ai un autre souci, comment mettre en place les deux DMZ, comme tu la dit il aura beaucoup de translation d'adresses, donc il contradictoire de segmenter le réseau par l'ajout d'une nouveau dmz.

Non. Il y a une mauvaise compréhension du fonctionnement de Pfsense et sans doute plus généralement des réseaux. Le nat (translation d'adresse) est devenu très populaire si l'on peut dire. A tel point que beaucoup mettent dans le même sac firewall et nat, et, sans se poser de question, associe les deux. C'est une erreur. Un firewall peut ne faire aucune translation. Il peut même protéger, isoler des machines, alors qu'elles sont le même réseau. En ce cas il n' aura ni nat, ni routage mais filtrage en pont.

Revenons à votre architecture, du moins celle que je recommande. Si les généralités qui précèdent ne vous ont pas éclairé, je pense qu'un exemple pratique le fera. Dans le cas de la messagerie le schéma, sur le plan réseau, serait le suivant :
Internet -> Votre routeur -> Wan Pfsense -> DmzExt -> relai smtp -> DmzInt -> serveur de mail.
La seule translation pratiquée sera celle indiquée par une règle sur l'interface Wan de Pfsense. Ensuite il n'y a que du routage. Si vous observiez le trafic vous verriez que sur le serveur de mail l'adresse source des paquets reçus est celle du relai et non celle de l'interface de la dmz interne.
Dans votre schéma initial, avec deux ipcop (ou deux Pfsense, cela ne change rien) vous traversez deux interface Wan, qui par défaut pratique une translation, et ceci dans les deux sens.

Si vous avez un pool d'adresses ip suffisant il pourrait même ni avoir aucune translation puisque les machine en dmz externe pourraient utiliser des ip publiques.

Il est important de bien séparer (et d'utiliser à bon escient) le routage, le nat et le pont dans un contexte de sécurité.

une autre question, si je met le lan derrière la dmz, donc j'ai besoin seulement de 4 interfaces.

Je ne comprend pas ce que veut dire "lan derrière dmz". Quoi qu'il en soit, le bon schéma c'est bien un Pfsense avec 5 interfaces :
2 Wan
1 dmz externe
1 dmz interne
1 lan.
Si il est concevable que dmz interne et lan soient dans le même sous réseaux, il ne l'est pas que les machines soient dans le même segment physique ou le même vlan. L'interface de la dmz interne sera nécessairementpont avec l'interface Lan.

Le principe reste le même pour tout autre type de trafic, le web par exemple au travers d'un proxy.

[younes85]

prière de me donné ton avis sur cette schéma, j'ai ajouté un pare-feu entre le lan et la dmz interne pour
assurer la protection du réseau local, en séparant aussi le réseau DMZ du réseau interne de l'entreprise

[ccnet]

Le lan devrait être connecté à une interface opt3 sur Pfsense. Le schéma présent plusieurs inconvénients.

Il est difficile à administrer du fait de la présence de deux firewalls, ce qui vous expose, de façon quasi mathématique à l'augmentation de la probabilité d'une erreur. Votre sécurité en est diminuée.

Pour sortir du lan, certains trafics destinés à d'autres machines que celles de la dmz interne vont néanmoins devoir traverser celle ci, il faut bien administrer les machines de la dmz externe par exemple ! C'est inutile, nocif potentiellement sur le plan des performances et surtout dangereux. Si l'on prend la peine de créer de multiples dmz, séparées du lan, ce n'est pas pour les trafics soient mélangés sur un segment de réseau.

Votre dispositif suppose un second firewall dont vous allez utiliser l'interface lan et l'interface wan. Tout le trafic provenant du lan sera translaté avec l'ip de wan. Comment ferez vous pour "firewalliser" intelligemment chaque machine des dmz alors que vous ne saurez pas identifier l'origine des paquets ?

Une défense en profondeur nécessite ce type de procédé. Vous devez partir du pricipe qu'une intrusion est possible. La question est de réduire les conséquences de cette intrusion si une des machines était compromise. Un firewall n'est qu'un élément de sécurité, une protection périphérique.