[RESOLU]Avis sur architecture

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

[RESOLU]Avis sur architecture

Messagepar a.blabla » 17 Oct 2009 15:54

bonjour,

Voici mon réseau actuel :
Image

Explications :

LAN + WiFi : je rassure tout de suite, le WiFi n'est pas en libre service. Cependant des contraintes physiques de l'époque ont nécessité cette architecture. On estime qu'environ 100 postes maxi vont sur Internet en même temps.

IPCOP : les add on suivants sont installés : serveur addon,BOT, advproxy, UrlFilter et Calamaris. Il fait donc firewall et proxy à la fois. De plus l'identification est également présente via l'AD du domaine.

XINCOM : boitier faisant du load balancing

LIVEBOX : elles sont en mode routeur (puisqu'on ne peut les mettre en bridge d'après ce que j'ai lu sur le forum). Elles sont en /29 car ça permet de les configurer sans avoir à les débrancher du réseau. On 1 adresse publique fixe depuis peu.

Nous devons faire évoluer notre architecture. Voici la situation envisagée :

Image

Explications :

Contrainte physique: on ne peut mettre que 3 cartes réseau sur les PC utilisés.

Le besoin : la mise en place d'une application devant être joignable à partir du Web.

L'idée :
A. Séparer la partie proxy/identification du firewall;
B. Le serveur dans la DMZ a une application devant accepter l'UDP/49300 venant d'Internet (voire de la partie WiFi) et repartir vers un serveur dans le LAN sur port TCP/55000.
C. Voire aller plus loin et en profiter pour y ajouter le DNS dans la DMZ

2 questions :
A. Avez-vous des idées d'amélioration ?
B. J'avais vu sur un post que CCNET donnait des conseils de lecture en SSI réseau. Malheureusement, je ne retrouve plus ce post. Alors si vous passez par ici CCNET, je suis preneur de bonne(s) lecture(s) car je sais que j'ai des lacunes dans ce domaine (je pense que je poserai des questions pour faire la DMZ de PFSENSE par exemple)

Merci à tous pour vos idées et explications éventuelles.

Blabla
Dernière édition par a.blabla le 22 Oct 2009 13:01, édité 2 fois au total.
a.blabla
Matelot
Matelot
 
Messages: 4
Inscrit le: 25 Oct 2007 11:10

Messagepar ccnet » 17 Oct 2009 18:31

Pour les livres :

http://www.amazon.fr/S%C3%A9curit%C3%A9 ... 796&sr=1-4

Et très généralement une référence surla sécurité :

http://www.amazon.fr/Secrets-mensonges- ... 866&sr=1-2

Pour le reste j'y reviendrait plus tard. Votre projet appelle de nombreux commentaires.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ccnet » 17 Oct 2009 18:58

Contrainte physique: on ne peut mettre que 3 cartes réseau sur les PC utilisés.

Il existe des cartes réseaux avec 2 ou quatre ports. Les vlans sont aussi une solution possible.

Le besoin : la mise en place d'une application devant être joignable à partir du Web.

Pas de problème particulier.

A. Séparer la partie proxy/identification du firewall;

C'est en effet une très bonne idée.

B. Le serveur dans la DMZ a une application devant accepter l'UDP/49300 venant d'Internet (voire de la partie WiFi) et repartir vers un serveur dans le LAN sur port TCP/55000.

Les transferts de port résolvent le problème sans difficulté.

Sur l'architecture de l'évolution.
Pardonnez moi mais le tout est un peu brouillon et sera difficilement administrable (car de nombreux paramétrages non centralisés sont des sources d'erreurs).

La solution préférable serait un Pfsense avec 4 interfaces : 1 Wan (boitier Xincom), 1 dmz, 1 lan et une Wifi. Ipcop disparait au profit d'un vrai proxy ne faisant que cela (Debian + Squid + SquiGuard+ ...). Il n'y a pas de difficulté à faire du filtrage de contenu et de l'authentification AD.

La partie Wifi utilisera impérativement WPA2. Voire une solution NAC.

Je ne comprend pas bien pourquoi les masques de sous réseaux sont différents partout : /24, /23, /30 , /29 ?

Le dns pourra être fourni par Pfsense, à la fois pour le cache de la résolution externe et pour les adresses locales.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar a.blabla » 18 Oct 2009 07:14

Rebonjour,

On va finir par croire que vous campez sur ce forum (et celui de pfsense si je ne m'abuse...)

Tout d'abord merci pour les références livres. Il est vrai que je n'ai jamais lu Bruce Schneier bien que j'en ai beaucoup entendu parlé (forcément !).
Un petit renvoi d'ascenseur : http://www.pug.fr/Titre.asp?Num=693 : ce livre est intéressant pour l'ingénierie sociale, voire pour la vie quotidienne.

Il existe des cartes réseaux avec 2 ou quatre ports. Les vlans sont aussi une solution possible.

C'est bête mais on n'y avait tout simplement pas pensé aux cartes deux ports ! :?

Sur l'architecture de l'évolution.
Pardonnez moi mais le tout est un peu brouillon et sera difficilement administrable (car de nombreux paramétrages non centralisés sont des sources d'erreurs).


Vous êtes pardonné, si j'ai posté c'est bien que cette architecture me chiffonnais également...


La partie Wifi utilisera impérativement WPA2. Voire une solution NAC.

C'est déjà en WPA2, et on utilise IPCOP/AD pour l'identification. Si je peux monter votre idée, on utilisera PFSENSE.

Quant aux masques, j'avoue que c'est une habitude de réduire les domaines de broadcast. D'où les /30 sur les points à points.
/23 du LAN : je l'ai trouvé comme ça à mon arrivée sur site. Historiquement, il était /24 mais a été mis en /23 quand le WiFi a été monté.

Merci pour les idées, j'en parle au chef de service dès demain...

Blabla
a.blabla
Matelot
Matelot
 
Messages: 4
Inscrit le: 25 Oct 2007 11:10

Messagepar a.blabla » 22 Oct 2009 13:13

Rebonjour,

Comme j'avais une dead line pour le 23 oct 09, nous avons décidé, avec mon chef de service, de parer au plus pressé : on a viré le boitier Xincom, j'ai fait un NAT à partir de la livebox vers IPCOP.

Avantages : le service est disponible en temps et en heure, et ça permet de libérer du matériel pour tester sans stress la solution proposée par CCNET. J'avoue ne pas être le roi du NAT/PAT et autres masquerade. Donc le temps de potasser l'excellent http://www.frameip.com et d'y poser les questions sur le "nattage" en cascade.

En tout cas merci pour les idées. :)

Je marque ce fil comme résolu et ouvrirai un autre fil pour mes futures questions.

Blabla
a.blabla
Matelot
Matelot
 
Messages: 4
Inscrit le: 25 Oct 2007 11:10


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron