[RESOLU]Avis sur architecture

[a.blabla]

bonjour,

Voici mon réseau actuel :


Explications :

LAN + WiFi : je rassure tout de suite, le WiFi n'est pas en libre service. Cependant des contraintes physiques de l'époque ont nécessité cette architecture. On estime qu'environ 100 postes maxi vont sur Internet en même temps.

IPCOP : les add on suivants sont installés : serveur addon,BOT, advproxy, UrlFilter et Calamaris. Il fait donc firewall et proxy à la fois. De plus l'identification est également présente via l'AD du domaine.

XINCOM : boitier faisant du load balancing

LIVEBOX : elles sont en mode routeur (puisqu'on ne peut les mettre en bridge d'après ce que j'ai lu sur le forum). Elles sont en /29 car ça permet de les configurer sans avoir à les débrancher du réseau. On 1 adresse publique fixe depuis peu.

Nous devons faire évoluer notre architecture. Voici la situation envisagée :



Explications :

Contrainte physique: on ne peut mettre que 3 cartes réseau sur les PC utilisés.

Le besoin : la mise en place d'une application devant être joignable à partir du Web.

L'idée :
A. Séparer la partie proxy/identification du firewall;
B. Le serveur dans la DMZ a une application devant accepter l'UDP/49300 venant d'Internet (voire de la partie WiFi) et repartir vers un serveur dans le LAN sur port TCP/55000.
C. Voire aller plus loin et en profiter pour y ajouter le DNS dans la DMZ

2 questions :
A. Avez-vous des idées d'amélioration ?
B. J'avais vu sur un post que CCNET donnait des conseils de lecture en SSI réseau. Malheureusement, je ne retrouve plus ce post. Alors si vous passez par ici CCNET, je suis preneur de bonne(s) lecture(s) car je sais que j'ai des lacunes dans ce domaine (je pense que je poserai des questions pour faire la DMZ de PFSENSE par exemple)

Merci à tous pour vos idées et explications éventuelles.

Blabla

[ccnet]

Pour les livres :

http://www.amazon.fr/S%C3%A9curit%C3%A9 ... 796&sr=1-4

Et très généralement une référence surla sécurité :

http://www.amazon.fr/Secrets-mensonges- ... 866&sr=1-2

Pour le reste j'y reviendrait plus tard. Votre projet appelle de nombreux commentaires.

[ccnet]

Contrainte physique: on ne peut mettre que 3 cartes réseau sur les PC utilisés.

Il existe des cartes réseaux avec 2 ou quatre ports. Les vlans sont aussi une solution possible.

Le besoin : la mise en place d'une application devant être joignable à partir du Web.

Pas de problème particulier.

A. Séparer la partie proxy/identification du firewall;

C'est en effet une très bonne idée.

B. Le serveur dans la DMZ a une application devant accepter l'UDP/49300 venant d'Internet (voire de la partie WiFi) et repartir vers un serveur dans le LAN sur port TCP/55000.

Les transferts de port résolvent le problème sans difficulté.

Sur l'architecture de l'évolution.
Pardonnez moi mais le tout est un peu brouillon et sera difficilement administrable (car de nombreux paramétrages non centralisés sont des sources d'erreurs).

La solution préférable serait un Pfsense avec 4 interfaces : 1 Wan (boitier Xincom), 1 dmz, 1 lan et une Wifi. Ipcop disparait au profit d'un vrai proxy ne faisant que cela (Debian + Squid + SquiGuard+ ...). Il n'y a pas de difficulté à faire du filtrage de contenu et de l'authentification AD.

La partie Wifi utilisera impérativement WPA2. Voire une solution NAC.

Je ne comprend pas bien pourquoi les masques de sous réseaux sont différents partout : /24, /23, /30 , /29 ?

Le dns pourra être fourni par Pfsense, à la fois pour le cache de la résolution externe et pour les adresses locales.

[a.blabla]

Rebonjour,

On va finir par croire que vous campez sur ce forum (et celui de pfsense si je ne m'abuse...)

Tout d'abord merci pour les références livres. Il est vrai que je n'ai jamais lu Bruce Schneier bien que j'en ai beaucoup entendu parlé (forcément !).
Un petit renvoi d'ascenseur : http://www.pug.fr/Titre.asp?Num=693 : ce livre est intéressant pour l'ingénierie sociale, voire pour la vie quotidienne.

Il existe des cartes réseaux avec 2 ou quatre ports. Les vlans sont aussi une solution possible.

C'est bête mais on n'y avait tout simplement pas pensé aux cartes deux ports !

Sur l'architecture de l'évolution.
Pardonnez moi mais le tout est un peu brouillon et sera difficilement administrable (car de nombreux paramétrages non centralisés sont des sources d'erreurs).

Vous êtes pardonné, si j'ai posté c'est bien que cette architecture me chiffonnais également...

La partie Wifi utilisera impérativement WPA2. Voire une solution NAC.

C'est déjà en WPA2, et on utilise IPCOP/AD pour l'identification. Si je peux monter votre idée, on utilisera PFSENSE.

Quant aux masques, j'avoue que c'est une habitude de réduire les domaines de broadcast. D'où les /30 sur les points à points.
/23 du LAN : je l'ai trouvé comme ça à mon arrivée sur site. Historiquement, il était /24 mais a été mis en /23 quand le WiFi a été monté.

Merci pour les idées, j'en parle au chef de service dès demain...

Blabla

[a.blabla]

Rebonjour,

Comme j'avais une dead line pour le 23 oct 09, nous avons décidé, avec mon chef de service, de parer au plus pressé : on a viré le boitier Xincom, j'ai fait un NAT à partir de la livebox vers IPCOP.

Avantages : le service est disponible en temps et en heure, et ça permet de libérer du matériel pour tester sans stress la solution proposée par CCNET. J'avoue ne pas être le roi du NAT/PAT et autres masquerade. Donc le temps de potasser l'excellent http://www.frameip.com et d'y poser les questions sur le "nattage" en cascade.

En tout cas merci pour les idées.

Je marque ce fil comme résolu et ouvrirai un autre fil pour mes futures questions.

Blabla