Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Sécurité d'une petite structure

Bonjour, j'ai une question à propos de la sécurité par exemple d'une petite entreprise . Voila je vous explique :


Soit [u:3bed6ffc77]5 machines[/u:3bed6ffc77] et [u:3bed6ffc77]4 serveurs[/u:3bed6ffc77]
-> : http ( serveur http pour creation d'un site avec un domaine propre)
-> : partage de fichier (serveur sous linux samba par exemple pour partager des fichiers/dossiers et partage d'imprimante)
-> : DNS
-> : firewall en bridge


Donc chaque serveur et machine sont connecté à des switch et les switchs aux routeur puis modem;

Mise à part le firewall en bridge qui est connecté entre le routeur et le modem .

Voila est ce que une telle typologie serait envisagable parce que je me disais qu'au lieu de configurer un firewall sur chaque machine du réseau autant mettre en place un serveur firewall configurer pour stopper le traffic non attendu ...

Je sais pas si tout est coherant .. 🙂
Tout cela est pas mal.
Ce que tu pourrais faire c'est mettre tes serveurs sur une zone à part (DMZ)
Comme cela tes règles de filtrage seraient plus propres. Aucun accès vers le réseau local, les seuls accès entrants seraient sur la DMZ.

Par contre il faudra mettre ton firewall en routeur et non en bridge.
je me suis documenté sur le DMZ je ne suis pas sur d'avoir tout saisie donc:

[u:fb78b8932b]la zone de DMZ permet à un serveur d'etre accessible à la fois sur le réseau interne mais aussi sur le réseau externe, en d'autre terme si une machine du réseau extérieur souhaite communiquer sur un de mes serveurs il sera redirigé vers la zone dit "démililitarisé"[/u:fb78b8932b]



-> Admettons que je possède un réseau fonctionnant en nat dynamique, donc une machine extérieur souhaite se connecter sur l'ip publique sur le port ftp par exemple, boum mon routeur le redirige ([u:fb78b8932b]grace au port forwarding[/u:fb78b8932b]) vers le serveur attribué. Ca ne marche pas comme ça nan ? Sinon peu étre que la différence est au niveau de sécurité ...


---------------------------------------------------------------

J'ai une seconde qui me tracasse :p (désolé de poser autant de questions 😳 )

agit sur la couche 2 du modele OSI cad la laision de données gerées par les trames mais n'agit que sur un réseau local c'est le cas de l'arp avec les broadcast des machines du réseaux etc ...

Mais il peut agir aussi sur la couche 3 nan puisque quand il s'agit d'effectuer un brodcast sur le réseau extérieur par l'intermédiaire d'un proxy arp ? ca releve de la couche réseau ?

Merci !! 😉
En fait, il s'agit surtout de segmenter les flux de ton réseau. Les flux ne doivent pas transiter directement entre l'intérieur et l'extérieur. Une DMZ permet d'agir comme un sas entre la zone publique et la zone privée. Le firewall est alors placé en coupure et les flux filtrés de manière plus optimale.

Ex : flux HTTP d'un utilisateur qui veut surfer sur le Web
- Requête HTTP du PC vers proxy HTTP en DMZ
- Requête HTTP du proxy vers le serveur Web

Si tu fais un "simple" port forwarding vers le serveur FTP, qui se situe dans le même réseau que tout le reste, le flux entre chez toi. Si tu fais un port forwarding vers un serveur qui se situe en DMZ, le flux reste cantonné à cette zone.

Un proxy ARP ne transmet pas le broadcast ARP vers un autre réseau. Il répond à une requête ARP alors qu'il n'a pas l'adresse IP correspondante configurée sur son interface. Ensuite, il route les paquets "interceptés" vers la bonne destination.

Le protocole ARP associe une adresse ip de couche 3 à une adresse mac de couche 2, il est don à cheval sur ces deux couches.
A voila j'ai compris donc en réalité c'est une zone dans laquelle se trouve des serveurs afin de les isoler. Si une connexion est établit le flux ne sort pas de cette zone ainsi un pirate ne peut pas pénétrer dans l'ensemble du réseau si jamais il a reussit une intrusion.

Je me demande comment peut on mettre en place un tel mécanisme?

Une configuration du routeur suffirait ?
Quasiment, il vaut mieux utiliser une firewall (un routeur qui filtre quoi) qui permettra d'autoriser ou non les flux.
Un firewall avec trois cartes réseau connectées sur les trois réseaux, et zou !
a c'est ca que je ne saisie pas trop quand tu parles de firewall c'est mettre en place un serveur firewall ou tout simplement un routeur qui filtre (d'ailleur je possede une freebox je sais pas comment mettre mon modem/routeur en mode filtreur 🙄 )

Puis quand tu parles de 3 cartes réseaux il s'agit desquelles ?
reseau externe - reseau interne - zone DMZ (aucun rapport je suis sur lol )
Un routeur qui filtre peut être considéré comme un firewall.

Et ok pour les 3 cartes réseau.

Donc tu peux mettre un serveur derrière la freebox, avec 3 interfaces, qui jouera le rôle de routeur/firewall.
a oui d'accord mais le mettre en place avec aucune zone DMZ donc seulement 2 cartes réseau , ne serverai pas à grand chose nan

Et sinon un serveur linux avec comme filtrage iptables ferait l'affaire ?

Merci beaucoup à toi ca me gène de poser autant de question lol donc si tu as un lien je suis preneur 😀 merci !
Avec que deux cartes cela ne servira pas à grand chose.

Un linux avec iptables serait parfait !

Tu peux aller voir mon site, j'ai fait un cours sur la mise en place d'une connexion Internet avec deux fournisseurs. Il y a le script iptables dedans (il faut ajouter anciensite dans l'url il me semble)
A oui il s'appelle : Mise en place d'une double connexion ADSL sous linux

je vais essayer de la mettre en oeuvre merci mais le seul probléme c'est que je ne posséde pas deux FAI seulement free ...
Salut à tous!

J'ai un problème qui n'est pas loin de celui posé ici, et je préfère donc le poser directement dans la suite.

En effet, j'ai un appliance Linux faisant office de proxy pour mon réseau interne. Cette machine permet également via le nat, à mes utilisateurs internes d'aller sur internet et à mes utilisateurs externes de se connecter aux serveurs internes suivant des règles définies sur le firewall/proxy.
Pour les connexions depuis l'extérieur, je dispose d'une plage d'adresses publique de mon FAI et pour chaque serveur interne accessible depuis l'extérieur, j'ai fait un DNAT sur une adresse publique spécifique.

Pour se connecter à internet, le firewall sert de mes passerelle pour les utilisateurs internes, et pour se connecter à mes serveurs depuis l'extérieur, mes utilisateurs disposent d'une adresse publique pour chaque serveur qui sera ensuite NATée sur l'adresse privée du serveur concerné.

J'ai une deuxième connexion internet aujourd'hui voici ma problématique:

- Je veux mettre en entrée de mon réseau un routeur Linux qui va gérer le loadbalancing/failover pour les connexion sortantes

- Derrière le routeur se trouvera mon firewall/proxy qui gère le réseau interne

-Comment pourrait-je permettre au routeur de router les requêtes des utilisateurs externes vers le proxy, et en suite du proxy vers les serveurs internes concernés?

- Pourrais-je toujours faire de la redirection d'adresses publiques avec désormais la carte externe de mon firewall sur une adresse privée? Ou alors à ce niveau c'est une redirection de port qui s'impose? Si oui petit détail

- Si je pourrai faire de la redirection d'adresses publiques pour les connexions depuis l'extérieur, est-ce que je pourrai utiliser mes deux plages d'adresses publiques? (Mon nouveau FAI m'as également donnée une plage d'adresses publiques)

- Enfin comment puis-je efficacement gérer les accès depuis l'extérieur avec mes deux connexions internet?

Vous avez ci-joint un petit schéma de l'architecture que je prévois, et j'attends vos objections et propositions.

Je précise que je n'ai aucun problème pour l'implémentation du loadbalancing/failover en sortie; j'ai déjà développé les scripts sur mon routeur Linux Debian, mais je ne sais pas comment le placer en production afin qu'il cohabite avec mon firewall.

[URL=http://img404.imageshack.us/i/topologiecible.png/][img:9047af25ea]http://img404.imageshack.us/img404/8311/topologiecible.png

Uploaded with [URL=http://imageshack.us]ImageShack.us[/URL]

Merci de m'éclairer. [img]
Je te conseille de faire un nouveau post pour obtenir des réponses. Boubz a peut-etre encore d'autres questions à poser et les réponses vont se mélanger.
OK c'est bon j'ai noté!

J'espère que mon nouveau post obtiendra autant de d'intervention que celui de Boubz

Merci.