Monter un réseau avec serveur + routeur + 50 postes

Monter un réseau avec serveur + routeur + 50 postes - Windows & Software

Marsh Posté le 05-07-2004 à 09:32:30    

Bonjour,  
 
A tous les pros du reseau...g une question :
 
J ai pour mission de restructurer le reseau d'une entreprise.
 
Pour l'instant il y a une connexion ADSL branchee a un routeur materiel branche à un switch 50 ports manageable.
 
Le routeur fait office de serveur DHCP
 
Je dois installer un serveur de messagerie qui fasse en plus firewall.
 
Ou je dois mettre ce serveur dans le reseau??
 
entre l'ADSL et le routeur??
entre le routeur et le switch???
 
Merci pour votre aide...  :jap:


Message édité par kissskoool le 05-07-2004 à 15:32:15
Reply

Marsh Posté le 05-07-2004 à 09:32:30   

Reply

Marsh Posté le 05-07-2004 à 10:08:31    

up please...

Reply

Marsh Posté le 05-07-2004 à 10:10:50    

mettre le FW sur le srv de messagerie c un peu du nimporte quoi ...

Reply

Marsh Posté le 05-07-2004 à 10:17:34    

cad n importe koi???
 
moi j aimerais que mon serveur et microsoft exchange d'installe et un firewall pour fermer quelques ports...

Reply

Marsh Posté le 05-07-2004 à 10:23:01    

Ben la topologie du réseau type dans ton cas ca serait :
 
internet -- routeur -- FW -- LAN
                        |
               srv de messagerie (DMZ)
 
 
Bon maintenant, ca c'est de la théorie, on en fait ce qu'on veut. Mettre un FW soft sur ton srv de messagerie t'oblige a avoir le schéma suivant :
 
internet -- routeur -- srv de messagerie (avec FW) -- LAN
 
C'est à dire que tout ton traffic internet va passer par ton srv de messagerie avec tous les problèmes que ca pose.
                                         

Reply

Marsh Posté le 05-07-2004 à 10:32:53    

en fait pour l'instant on a :
 
internet -- routeur -- switch -- LAN
                          |
                  serveur de fichiers

Reply

Marsh Posté le 05-07-2004 à 10:33:31    

en fait le serveur de fichiers est connecte au switch comme les autres pc

Reply

Marsh Posté le 05-07-2004 à 10:34:53    

il nous manque un serveur de messagerie...et j aimerais bien effectivement que le traffic passe par un pc pour pouvoir le controler (ports, virus, ...)
 
est il possible d avoir tout ca??
 
merci pour ton aide gaard28

Reply

Marsh Posté le 05-07-2004 à 10:42:46    

Sépare ton firewall du serveur de messagerie...
 
Idéalement tu prends un firewall avec 3 interfaces (LAN, WAN, DMZ) et tu places ton serveur de messagerie dans la DMZ.
 
Suivant tes impératifs de sécurité tu pourrais te permettre d'en prendre un avec seulement 2 interfaces et placer ton serveur de messagerie dans le LAN. Veille toutefois àé ce que seul le port SMTP (25) puisse passer en entrant ton firewall à destination du serveur de messagerie.
 
Quant au serveur DHCP, passe le sur ton serveur de fichier (situé dans le LAN).
 
Pour le firewall tu as principalement 3 choix :
- utiliser du matériel déjà prêt à l'emplois en génréal il s'agit d'un boitier adminsitrable via une interface web. Le gros avantage c'est que celà nécessite quasiment aucune maintenance. L'inconvénient, peut manque un peu de souplesse.
- Utiliser Linux, BSD ou autre OS en distrib spécialisée, une bonne solution pour recycler un PC standard et profiter de la souplesse d'un firewall efficace à moindre coût.
- Utiliser des produits commerciaux : Checkpoint-FW1 ou ISA par exemple... mais la il faut déjà avoir des besoins autres qu'un simple filtrage de ports.

Reply

Marsh Posté le 05-07-2004 à 10:46:46    

Dans ce cas la, il faut (et il suffit) d'installer un FW soft sur le serveur de messagerie d'indiquer au serveur DHCP que la passerelle est l'adresse du serveur de messagerie (comme ca tout le trafic des postes clients passe par le srv de messagerie).
Ensuite il faut activer le routage sur le srv et paramétrer les règles routages qui vont bien ;) Tu peux faire ca avec le service de routage et accès distant de windows server ou alors avec le FW.
 
Mais je pourrais pas te conseiller en matière de FW soft, j'y connais pas grand chose

Reply

Marsh Posté le 05-07-2004 à 10:46:46   

Reply

Marsh Posté le 05-07-2004 à 10:49:09    

Gaard38 -> Un FW "soft" (ils le sont tous ;) ) nécessite par contre pas mal de maintenance et un suivi périodique des patchs qui sont disponibles pour lui.
 
Par ailleurs étant exposé à toutes les merdes qui traînent sur le net il faut être bien au clair sur son fonctionnement.

Reply

Marsh Posté le 05-07-2004 à 12:05:14    

ok donc au final je peut mettre mon firewall sur mon serveur de messagerie...
 
mais ce serveur je le met ou si je veux garder le service DHCP du routeur materiel???

Reply

Marsh Posté le 05-07-2004 à 13:18:13    

Si tu mets un FW sur le serveur de messagerie tu fais une bourde en terme de sécu... ce n'est pas pour autant que ce n'est pas réalisable.
 
Ton FW / proxy se doit être idéalement une machine indépendante de tout le reste de ton réseau, de sorte que si il tombe tu puisse espérer que seulement ton FW est affecté et non pas ce qui se trouve derrière, a fortiori ce qui tourne sur la même machine.
 
Fait la simple supposition que j'arrive à contrôler ton firewall suite à un hack de ma part... si le serveur de messagerie est sur la même machine il y a de forte chance que je puisse lire tous les emais de ta boîte. Inversément suppose que j'arrive à envoyer un cheval de troie (fait sur mesure donc pas détecté par un AV) sur ton réseau, avec des relations d'approbation il se pourrait que je puisse modifier les réglages du firewall.
 
Quant au serveur DHCP du routeur tu ferais mieux de t'en passer, en général les serveurs DHCP fournis sur les routeurs manquent de flexibilité par rapport au serveur DHCP tournant sous un OS (temps du bail non-modifiable, réservation d'IP impossible, opions DHCP manquantes, ...) et laisser passer les trames DHCP à travers le firewall (pour autant qu'il les relaie) me semble une invitation à l'IP Spoofing ;)
 
Vu ton réseau (50 postes) et les besoins plus lié à du filtrage simple et de la prévention d'intrusions je partirais plutot sur un petit firewall tout fait dans son boitier prêt à l'emplois (SonicWALL, ZyWALL , ...) que tu placeras entre ton routeur et ton réseau.

Reply

Marsh Posté le 05-07-2004 à 13:48:50    

Bonjour à tous !
 
Je suis moi aussi dans le cas de kissskool mais à un niveau un peu plus faible : PME avec réseau 10 postes windows tous derrière MODEM ADSL/ROUTEUR + SWITCH.
Au niveau sécu c'est assez limite (pas de firewall sur les postes...). Je souhaite installer un serveur qui fasse passerelle avec firewall + qqs services associés si besoin (pas de messagerie pour le moment)...
Après qqs recherche j'ai installé le serveur avec Free-EOS (une ptite distrib linux spécialisée, surtt orientée éducation...).
 
 
Donc ma question est la suivante : existerait-il des sites de référence parlant des solutions réseaux pour différents types de structures, différents budgets ??
Je dis ça parce que je ne suis pas un spécialiste, que les petites entreprises n'ont pas tt le tps les moyens de se payer des pros... et que moi, bah je galère un ptit peu  :(  
 
PS : Si je suis trop hors sujet, je réouvrirai un fil à part  :jap:

Reply

Marsh Posté le 05-07-2004 à 13:55:41    

pour une PME avec 10 postes  le firewall du routeur peut suffire...  (pas besoin de firewall sur postes !!!!)
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 05-07-2004 à 13:59:37    

c est un peu le meme probleme pour moi...
la boite ou je bosse ne veux pas depenser d argent...
 
Donc hors de question d acheter un firewall materiel ou autre ...
 
De plus le pc qui servira de passerelle sera constitue d un PII 400 avec 392Mo de RAM
 
est suffisant pour un parc de 50 postes???

Reply

Marsh Posté le 05-07-2004 à 14:01:52    

En ce moment toutes les machines sont connectees directement au net et on leur propre antivirus.
 
donc au moment des mises a jour antivirus ou recuperation des mails c le gros embouteillage sur le reseau...
 
et en plus il n y a aucune verification des mails avant leur arrivee sur le reseau...
 
Je voudrais pouvoir controler tout le traffic entrant ainsi que les mails
 
est ce possible et quelle est la solution la plus simple??

Reply

Marsh Posté le 05-07-2004 à 14:16:04    

com21 a écrit :

pour une PME avec 10 postes  le firewall du routeur peut suffire...  (pas besoin de firewall sur postes !!!!)


Evidemment pas de firewall sur poste. Mais le routeur est un DG814 de Netgear... et au niveau firewall... bah... euh... y'en a parait il un, mais je n'ai accès à aucun réglage par le biais de la console d'administration, donc j'aime moyen...

Reply

Marsh Posté le 05-07-2004 à 14:32:58    

kissskoool a écrit :

c est un peu le meme probleme pour moi...
la boite ou je bosse ne veux pas depenser d argent...
 
Donc hors de question d acheter un firewall materiel ou autre ...
 
De plus le pc qui servira de passerelle sera constitue d un PII 400 avec 392Mo de RAM
 
est suffisant pour un parc de 50 postes???


 
Trouve une boîte qui veut dépenser de l'argent, indirectement tu peux leur démontrer assez facilement qu'un hack leur coûterait bien plus cher :D
 
Sinon un PII 400 c'est largement suffisant pour faire un firewall avec 2 (ou 3) cartes réseaux !
 
Dernièrement j'ai monté sur un PII 350 un petit IPCop (tourne du tonnerre ce truc, est installé en 15 minutes et en plus c'est free)... il fait aussi proxy web... Vu que l'AV passe par une requête HTTP celà pourrait alléger tes téléchargement des mises à jours (bien qu'un antivirus destiné aux entreprises serait plus adapté).
 
Ce genre de distribution spécialisées sont assez adaptées à un réseau comme le tient, surtout lorsque le budget fait un peu défaut ;)
 
Pour le filtrage des emails il existe plusieures solutions... tout dépend du serveur de messagerie :
- machine indépendante en amont de ton serveur de messagerie, elle reçoit le flux SMTP, le scan puis forward vers ton serveur interne, c'est aussi un bon endroit pour installer un filtre anti-spam. L'avantage c'est que c'est totalement indépendant de ton serveur de messagerie interne.
- intégration avec ton serveur de messagerie, par exemple avec Microsoft Exchange ou Lotus Domino tu as des produits qui s'intègrent et ajoutent des fonctionnalités anti-virus / anti-spam (Norton Corporate Entreprise Edition, iHateSpam Exchange Edition, ...). L'avantage de ce genre de solutions c'est qu'elles sont capables d'agire sur les boîtes des utilisateurs, voir dans certains cas que l'utilisateur final puisse régler certains paramètres depuis son poste client (décharge l'admin par exemple de gérer une whitelist ou blacklist).
 
J'ignore quel AV vous utilisez, j'ose juste espérer que vous n'avez pas installé sur 50 postes un AV grand public.

Reply

Marsh Posté le 05-07-2004 à 14:55:52    

on a installe F-secure sur tous les postes....c etait horrible surtout sur les vieilles machines qui sont encore plus etouffees maintenant.
 
sinon le pb c est que je ne peux pas toucher a ce qui est installe c trop la galere...
 
ils veulent juste que je monte una machine avec de pieces trouvees a droite a gauche...et que je leur monte un serveur de messagerie, un firewall et un proxy
 
en plus il faut obligatoirement que le tout soit sous windows 2000 server avec microsoft exchange.
 
Je suis oblige de garder le routeur materiel et le laisser gerer le dhcp.
 
mon pb est vraiment ou mettre ce serveur dans le reseau??
 
(je reliste le materiel : routeur avec 5 ports, switch 50 ports)

Reply

Marsh Posté le 05-07-2004 à 15:05:26    

gecko20120 a écrit :


Donc ma question est la suivante : existerait-il des sites de référence parlant des solutions réseaux pour différents types de structures, différents budgets ??


 
Bon je me réponds un peu : http://www.ixus.net , c'est Requin avec le coup de IPCOP qui m'y a fait repenser... oups
Je vais fouiller sur le forum...

Reply

Marsh Posté le 05-07-2004 à 15:14:38    

Bah si tu veux "bricoler" c'est tes oignons, j'espère juste ne jamais récupérer ton "boulot"...
 
Reste à négocier avec F-Secure une mise à jour de vos 50 licences clients car avec "F-Secure Anti-Virus Small Business Suite" qui est une version centralisée et réseau du logiciel (ce qui évite entre autres de télécharger 50x les mises à jours) tu as :
 
- F-Secure Anti-Virus Client Security - antivirus and desktop firewall for workstations
- F-Secure Anti-Virus for Windows Servers - antivirus for file servers
- F-Secure Anti-Virus for Microsoft Exchange - antivirus for e-mail servers
- F-Secure Policy Manager - central management
 
Reste ensuite à mettre une petite machine avec IPCop entre ton réseau local et ton routeur. Ca demande peu d'entretien et s'administre via une interface Web.
 
Ensuite monte le second serveur avec Exchange comme DC, celà fera une backup AD pour ton serveur de fichier et permettra à Exchange d'attaquer direct en local l'annuaire.
 
Le serveur DHCP de Windows 2000 est très bien et remplacera avantageusement celui du routeur pour ton réseau local.
 
Note tu peux laisser ton routeur faire serveur DHCP... il obtiendra tout simplement aucune demande de lease car elles seront bloquées par le firewall.
 


                                      [File Server DC]
                                             /
                                            /
                                           /
[internet]---[routeur]---[FW IPCop]---[switch LAN]---[PCs clients]
                                           \
                                            \
                                             \
                                      [Exchange Server DC]
 


Message édité par Requin le 05-07-2004 à 15:23:20
Reply

Marsh Posté le 05-07-2004 à 15:33:53    

Pas mieux que Requin.
Pour l'anti virus, ca coute pas plus cher d'avoir une solution pro avec gestion centralisée et tout le toutim : faut compter 40eur par poste et par an ...

Reply

Marsh Posté le 19-07-2004 à 08:33:04    

bonjour
 
Je pense qu'il manque pas mal d'information afin de pouvoir aider convenablement.
 
D'après la configuration , le routeur FT (Oleane) est sur une liaison TurboDSL (type OPEN) et il n'est dit nul part qu'il y a un subnet de fourni par l'ISP. Aussi , le fait d'installer une DMZ ne sert strictement à rien , puisque depuis le NET , seul le routeur sera vu et pourra etre atteint.  
Un FW sur ce genre de config ne sert pas à proteger de l'exterieur , puisque çà ne filtrera pas les mails ou encore les requets HTTP. Il ne servira qu'à proteger le NET des machines du LAN (genre massmail bombing du à un virus recupéré dans un email , en filtrant tout accès au net sur le port 25 par exemple) , des access-list permettant de faire la meme chose sans problème.
 
voili
@+
David

Reply

Marsh Posté le 19-07-2004 à 09:28:36    

Ne pas investir c'est une chose mais mettre en danger ta boite en est une autre!
Un cisco PIX 501 coute environ 700€ et est très fiable et asser simple à mettre en oeuvre.
Sinon un ptit routeur/FW ADSL peut faire l'affaire et la t'est entre 200 et 300€, certain ont même un port pour la DMZ. Quasi tous savent natter tes addresses et intégrent un DHCP.
 
Surtout si ton serveur de messagerie est un windows qui plus est avec exchange... en faire un serveur antiviral soit mais un FW... pas une bonne idée car les infos sont traitées par la couche IP de ton serveur avant d'arriver à ton FW donc asser simple à contourner et très simpel à faire tomber...
 
Regarde le prix d'un FW soft et compare a celui d'un firewall matériel et tu verra que la différence est négligeable pour une sécu nettement plus importante...
 
Edt: comme le dit R4ven si tu n'a pas de plage IP la DMZ ne sert à rien car tu n'a pas de machine publique.


Message édité par CHOUM le 19-07-2004 à 09:30:29
Reply

Marsh Posté le 19-07-2004 à 12:02:04    

Je profites du topik pour connaître vos impressions sur les fameux boitiers dédié FW à mettre entre le routeur et le switch, c'est facile d'utiliation, du moins plus "simplifié" qu'un FW soft installé sous un OS quelconque ?

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed