Petite configuration sioux

par **ldidier** » 13 Jan 2004 23:37

Bonsoir à tous et à toutes, J'ai mis en place un e-smith pour faire la chose suivante : Soit 2 lan distinct, l'un posséde un accès à internet et une ressource partager sous windows, l'autre n'a pas de connexion à internet, et doit accèder à la ressource partager sous windows. lan1-----sme-----lan2 (ressource partager+accés internet) Lan1 est un réseau sur lequel les clients sont très peu sur, lan2 est un réseau de prod l'idée c'était de dire que le coter sur était le coter lan2, mais le probléme c'est que lan1 accède à tous ce qu'il veut, donc j'ai inverser et fait de lan2 la zone sur et lan1 est l'internet, mais voilà si lan2 posséde l'accès à internet sme ne comprend pas qu'il doit utiliser la passerelle lan2 pour accèder à internet. Le choix de la sme à été fait sur sont serveur mail et proxy intégrer, ainsi que le serveur samba. Pour les curieux lan1 est une salle de formation et lan2 un réseau de prod. Merci d'avance de votre aide

par **gla** » 14 Jan 2004 00:02

Pourquoi ne pas mettre un IPCOP ou un MNF avec la salle de formation en DMZ ?

par **ldidier** » 14 Jan 2004 00:10

Samba+mail Voilà pourquoi j'ai choisi sme

par **Muzo** » 14 Jan 2004 09:44

Si tu n'est pas limité en nobre de machine, tu ajoute à ton ipcop ta SME avec mail et samba. SME que tu mets sur une autre pate de ton ipcop.

par **tomtom** » 14 Jan 2004 11:51

Excuse, je vais etre un peu dur, mais ton architecture est nulle. Tu veux faire de la securité, et tu fais passer tous les flux internet <-> lan1, typiquement des flux non surs, au travers de ton reseau de prod... La seul architecture correcte dans ton cas est de separer clairement les deux reseaux prod-formation, avec si possible un acces internet separé pour chaque, et eventuellemnt un firewall entre les deux reseaux pour recuperer sur le reseau de prod certaines données dont tu aurais besoin sur le reseau de formation (un firewall TRES restrictif ! ). Si tu ne peux pas te permettre ceci, il faut un firewall qui separe les trois zones (internet - prod- formation ) avec des regles strictes pour reglementer les acces d'une zone à l'autre ! t.

par **ldidier** » 14 Jan 2004 12:10

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-01-14 10:51, tomtom a écrit: Excuse, je vais etre un peu dur, mais ton architecture est nulle. Tu veux faire de la securité, et tu fais passer tous les flux internet <-> lan1, typiquement des flux non surs, au travers de ton reseau de prod... La seul architecture correcte dans ton cas est de separer clairement les deux reseaux prod-formation, avec si possible un acces internet separé pour chaque, et eventuellemnt un firewall entre les deux reseaux pour recuperer sur le reseau de prod certaines données dont tu aurais besoin sur le reseau de formation (un firewall TRES restrictif ! ). Si tu ne peux pas te permettre ceci, il faut un firewall qui separe les trois zones (internet - prod- formation ) avec des regles strictes pour reglementer les acces d'une zone à l'autre ! t. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Non tu n'est pas dur, tu ne connais pas toutes l'architecture c'est tous <IMG SRC="images/smiles/icon_wink.gif"> . Et c'est bien dans un soucis de sécurisation que je mets en place cette sme. L'idée c'est bien de protéger la prod. Mais en permettant un accès trés limiter à une seul ressource depuis la formation. <IMG SRC="images/smiles/icon_smile.gif"> Pour l'accès internet séparer, c'est multiplier par 2 les problémes

par **ldidier** » 14 Jan 2004 12:11

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-01-14 08:44, Muzo a écrit: Si tu n'est pas limité en nobre de machine, tu ajoute à ton ipcop ta SME avec mail et samba. SME que tu mets sur une autre pate de ton ipcop. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Si il faut rajouter une machine je ne voie pas l'interet.

par **svart** » 14 Jan 2004 12:29

Je trouve que tu rejette facilement les suggestions de tomtom... Si je résume bien : tu as un LAN de prod et une LAN de formation. (question : comment sont-ils connectés / séparés ? Autre question : comment considères-tu que le coté PROD est "sûr" ?) Tu as un accès Internet du Coté Prod (comment est géré cet accès ? Modem/routeur ou RTC ? Géré par une machine cliente ?) Tu veux partager l'accès internet pour une seule machine (et pour quels flux) du coté Formation. L'accès à Internet du coté PROD semble donc déjà partagé (comment ? Avec quelle sécurité ?) Pour quelle raisons l'usage d'une passerelle (SME ou autre) est nécessaire au partage de cette connexion ? Voilà. J'essaie simplement de cadrer le probleme pour que les réponses soient précises et pertinentes.

par **tomtom** » 14 Jan 2004 12:51

Comme tu veux.. mais j'ai beau chercher dans toutes mes experiences passées, je n'ai jamais vu un reseau lan de prod s'occuper de partager l'acces à internet pour un reseau declaré "non sur". La base de toute securité est la bonne definition des zones, du niveau de confiance que l'on accorde à chacune, et surtout des moyens de separation entre les zones... Là, typiquement, tu ne fais pas une architecture sécurisée, tu fais un bricolage pour utiliser le moins de machines possible (cumuler un samba et un firewall, etc..., utiliser un acces internet de prod pour fournir un sevrice à un reseau non sur...). Bon, c'est ton choix, mais je te conseille de faire un truc plus propre (pourquoi pas un firewall frontal, ipcop typiquement, une dmz avec le reseau de formation, un lan avec le reseau de prod, ton serveur samba dans la dmz etc.... ) Bon courage, t.

par **ldidier** » 14 Jan 2004 15:17

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-01-14 11:29, svart a écrit: Je trouve que tu rejette facilement les suggestions de tomtom... Si je résume bien : tu as un LAN de prod et une LAN de formation. (question : comment sont-ils connectés / séparés ? Autre question : comment considères-tu que le coté PROD est "sûr" ?) Tu as un accès Internet du Coté Prod (comment est géré cet accès ? Modem/routeur ou RTC ? Géré par une machine cliente ?) Tu veux partager l'accès internet pour une seule machine (et pour quels flux) du coté Formation. L'accès à Internet du coté PROD semble donc déjà partagé (comment ? Avec quelle sécurité ?) Pour quelle raisons l'usage d'une passerelle (SME ou autre) est nécessaire au partage de cette connexion ? Voilà. J'essaie simplement de cadrer le probleme pour que les réponses soient précises et pertinentes. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Quand je dit que j'ai 2 réseau je parle bien de 2 réseau avec un adressage différent sur des brins différents. Les flux internet ce résume à du web avec utilisation du serveur mandataire placer en ddmz (chainage de proxy). L'accès internet coter prod est déjà sécuriser. l'usage de la sme à déjà été clarifier dans un post précédent, mais je répéte : Srv mail Srv samba Firewall

par **ldidier** » 14 Jan 2004 15:29

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2004-01-14 11:51, tomtom a écrit: Comme tu veux.. mais j'ai beau chercher dans toutes mes experiences passées, je n'ai jamais vu un reseau lan de prod s'occuper de partager l'acces à internet pour un reseau declaré "non sur". La base de toute securité est la bonne definition des zones, du niveau de confiance que l'on accorde à chacune, et surtout des moyens de separation entre les zones... Là, typiquement, tu ne fais pas une architecture sécurisée, tu fais un bricolage pour utiliser le moins de machines possible (cumuler un samba et un firewall, etc..., utiliser un acces internet de prod pour fournir un sevrice à un reseau non sur...). Bon, c'est ton choix, mais je te conseille de faire un truc plus propre (pourquoi pas un firewall frontal, ipcop typiquement, une dmz avec le reseau de formation, un lan avec le reseau de prod, ton serveur samba dans la dmz etc.... ) Bon courage, t. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Hors sujet Pour la base de la sécurité nous sommes d'accord. Maintenant ce que tu ne prend pas en compte dans ta reflexion c'est que je parle d'isoler des machines d'un réseau de prod, pas de recréer une architecture compléte. Vouloir utiliser un all-in one évite d'avoir quelque chose de trop lourd à gérer. Si je devait sécuriser mon accée à internet déjà je n'utiliserais pas un seul fw mais 2 de techno différente, je collerais au milieu un IDS, et ma DMZ, et seulement la ensuite je commencerais à être tranquille. Maintenant ce que tu ne comprend pas c'est qu'il n'est pas questions de 200 machines de formation, mais de 5 machines. Donc le fait de vouloir mettre une sme simplifie le probléme. En fait ta réflexion est juste dans bien des cas mais pas dans celui que j'expose. Alors de deux choses l'une soit quelqu'un sait me répondre, dans ce cas merci, soit personnes ne sait et je devrez me débrouiller tous seul ./ Maintenant pour bien comprendre : J'ai 5 machines dans un coin, je les isoles de mon réseau de production. Mais je doit pouvoir avoir accés à internet, et accéder à une machine sur mon réseau de prod. Il y as un switch d'un coter et un autre switch de l'autre, la sme se trouve au milieu, afin de protéger la prod de ces 5 machines. Cest mieux compris

par **johndeuf** » 14 Jan 2004 21:46

La seule solution relativement raisonnable que je vois est : réseau de prod d'un côté, réseau de formation de l'autre (comprenant le serveur SME, qui assure les fonctions samba, mail,.. mais PAS la connexion internet) un ipcop au milieu qui gère l'accès internet Il existe dans ipcop une fonctionnalité qui permet à certaines machines bien identifiées du réseau de formation (dit orange) d'accéder à certaines machines bien identifiées (adresses et/ou ports) du réseau de prod (dit vert). Mais bon, c'est une facilité et en terme de sécurité, je dirais plutôt que c'est une faille (c'est un avis personnel), et je rejoins tomtom quand il dit que la base d'une bonne sécurité est la bonne définition des zones. Mais comme dit l'autre : "c'est vous qui voyez...."

Petite configuration sioux

Qui est en ligne ?