Architecture DMZ - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 05-03-2008 à 22:36:35
Le tout-en-un n'est pas une bonne idée de mon point de vue. Faire tourner les services et le filtrage sur la même machine, c'est l'assurance de n'avoir ni l'un ni l'autre en cas d'attaque.
Marsh Posté le 05-03-2008 à 22:48:03
Merci de ta réponse.
Tu t'orienterais vers quoi comme solution alors ?
Et j'oubliais aussi de mentionner, quel type de routeur j'ai besoin ?
Marsh Posté le 06-03-2008 à 09:45:13
Tu peux t'orienter vers un appliance (Netscreen, Netasq, Arkoon, Cisco...) pour la partie firewall & vpn
après pour les services type serveur web/mail/ftp/proxy/... ben un ou plusieurs serveurs sous windows ou linux
Marsh Posté le 06-03-2008 à 11:26:57
ou
en firewall: Ipcop / Pfsense
web/mail etc... soit des distributions linux ou tout intégré SME server
Marsh Posté le 06-03-2008 à 13:12:17
Merci pour toutes ces réponses!
Je pense que je vais séparer mes services comme ceci :
- Firewall / Proxy
- Messagerie / Antispam / Antivirus
- VPN
-Web / FTP...
Mais je ne sais pas trop vers quel matériel me tourner concernant :
- Firewall / PRoxy
- Messagerie / antispam / antivirus
- VPN
Pour ces services je préfererais me tourner vers une solution 'propriétaire' pour avoir du support en cas de problème et pour une facilité de configuration.
Marsh Posté le 06-03-2008 à 13:13:39
Comme Twins_, je choisirai une appliance pour la partie filtrage & vpn (ou, si tu changes d'avis sur les solutions libres, PF) et quelques serveurs derrière.
Marsh Posté le 06-03-2008 à 14:01:36
Je préfererais séparer mon appliance VPN avec celle du Firewall / Proxy.
Pouvez vous me donner des exemples d'appliance ? (marque / modèle) pour mon architecture ?
Je préfererais séparer le VPN, car c'est qqch qui est très gourmand et qui est tout aussi primordial que le Firewall / proxy
Marsh Posté le 06-03-2008 à 14:05:26
cisco vpn concentrator.
Ton réseau comportera combien de postes?
Marsh Posté le 06-03-2008 à 14:11:14
Si tu veux, nous sommes rattaché à un hopital, mais nous allons devenir indépendant.
Nous avons une quinzaine de postes, que des informaticiens recevant énormément de mails et travaillant avec beaucoup de sites distants = VPN.
Tu parles du CISCO ASA ou PIX ? Ou un autre ?
Merci
Marsh Posté le 06-03-2008 à 14:32:35
Ah ben en fait je ne savais pas que le concentrator n'était plus vendu...
donc oui effectivement sur le site de cisco on tombe sur les modèles ASA. Peut être que les autres constructeurs ont une plateforme plus dédié concentrateur VPN.
Marsh Posté le 06-03-2008 à 14:37:54
Ok! Merci!
Mais le problème c'est que le ASA, ne fait pas proxy il me semble...quel appliance pourrais-je utilisé ? Pour avoir une appliance qui fait Proxy / Firewall ou Proxy / Firewall / VPN
Marsh Posté le 06-03-2008 à 15:27:07
-Ok, merci! j'étais déjà aller sur leur site...mais c'est moi qui craque ou cisco ne propose pas de solution Firewall / Proxy / VPN ?
- Sinon en serveur de messagerie, antivirus, antispam tu as des références ?
Si je fais trop boulet...Désolé...je maitrise pas trop ce domaine, donc j'ai un peu besoin d'être guidé
Marsh Posté le 06-03-2008 à 15:32:13
as tu regardes les solutions de Netasq ? Il me semble qu'ils ont des appliances FW/VPN/Proxy
Netscreen, Cisco & Checkpoint ont plutôt des solutions FW/VPN à ma connaissance
Perso je préfère avoir le proxy sur un serveur plutôt que sur l'appliance FW
Marsh Posté le 06-03-2008 à 15:35:09
Merci _twins,
Donc toi tu opterais pour une archi : FW/VPN avec Cisco, puis un proxy (sous Squid ? et en solution propriétaire ? ) et en serveur de messagerie / antivirus / antispam , tu prendrais quoi ?
OUi j'avais vu Netasq le F500 et le F800 me parait pas mal...mais un Cisco me plairait plus...pour pouvoir faire de belle formation
Marsh Posté le 06-03-2008 à 16:03:46
franchement moi je prendrai une appliance pour le firewall/vpn/ids
puis après je monterais des serveurs pour le mail/av/as (Qmail - Postfix ou Exchange) puis proxy (Squid) puis plateforme web/ftp (Apache...)
Tu nous as pas dit pour tes OS? Si windows tu as besoin de AD?
Marsh Posté le 06-03-2008 à 16:13:33
Perso j'aime pas Cisco mais la c'est une question de gout et j'ai eu des retours pas tiptop sur les ASA (contrairement au feu PIX )
Sinon prendre un appliance dans la gamme des F500 ou F800 pour une 15aines de postes c'est un peu... comment dire... prendre un éléphant pour enculer une mouche sauf si peut être tu as beaucoup de trafic
Moi perso sur des besoins comme ça je m'orienterai vers :
- un appliance FW/IDS/VPN (par exemple une Netscreen-25 *sifflote*)
- un serveur proxy (par exemple squid/squidguard...)
- un serveur mail (par exemple sendmail, postfix... et les addons pour la sécu)
- un serveur web (par exemple apache...)
- un serveur ftp (par exemple unj proftpd, wu-ftpd ...)
Après suivant les serveurs physiques que tu as tu peux très bien mutaliser un serveur physique pour plusieurs services
NB : j'ai mis du linux mais tu peux très bien faire la même chose sour windows (AD, Exchange, IIS et compagnie)
Marsh Posté le 06-03-2008 à 16:57:42
MErci vraiment merci!
Avant de vous répondre, je vais analyser tout cela!
SInon pour répondre a la question des OS...nous n'avons pas d'AD! Nous utilisons majoritairement Mac!
Par contre pour les serveurs, je vais m'orienter vers du Linux ou du WIndows.
Je vous tiens informé, mais vraiment merci pour tout!
Marsh Posté le 06-03-2008 à 17:55:46
En fait, peut être que je vise un peu fort...mais je m'explique :
Nous avons des sites distants (pour l'instant 5) qui utilise notre progiciel. Notre progiciel est installé sur un serveur applicatif....par conséquent cela augmente le nombre de connexions...ainsi que le nombre de VPN Permanent. Est-ce que un Arkoon A210 est abusif ?
Ensuite, si je m'oriente vers ce type d'appliance, ils ont un proxy intégré non ? Un Squid / SquidGuard, n'est donc pas obligatoire ...ou je me gourre ?
En fait, pour tous ces services (hors appliance) je pense me tourner vers une architecture virtuelle de type VMware ESX. Nous utilisons déjà cela est c'est très convainquant.
Concernant les autres services je suis tout a fait d'accord avec vous :
Web : Apache
FTP : vsftpd (très sécurisé et rapide).
Mail : postfix (car qmail est de moins en moins utilisé...)
Marsh Posté le 07-03-2008 à 10:27:58
Hello
Au sujet de l'Arkoon A210... sur le papier il a l'air plutôt sexy àprès j'ai jamais tester du matos d'Arkoon défini aussi tes besoins en terme de bande passante pour tes VPN
Sinon au niveau du proxy... hum je sais pas trop il fait du NAT ça c'est sur avec des fonctionnalités de filtrage web donc si ça repond à tes besoins why not
Pour ce qui est de faire tourner tes services sur des machines virtuelles VMware ça doit fonctionner normalement... après faut toujours vérifier par rapport à tes besoins si c'est correctement dimensionné
Marsh Posté le 07-03-2008 à 10:41:47
Les critiques sur Arkoon sont assez bonne.
Pour la bande passante, faut que je me renseigne encore.
Mais tu penses encore que c'est surdimensionné le A210 ? sachant qu'on s'agrandit tout le temps ?
Et qu'est ce que j'aurais d eplus en passant par Squid plutot que de prendre le filtrage du Arkoon ?
Marsh Posté le 07-03-2008 à 11:42:13
Non c'est pas forcement surdimensionné après on connait pas en détail tes besoins réels
Sinon sur la question entre le Squid ou le NAT/PAT avec le filtrage de l'Arkoon aucune idée la meilleur facon de le savoir c'est de demander un pret à un intégrateur et de tester
Marsh Posté le 07-03-2008 à 12:02:25
En fait, la différence entre un proxy de type Squid et l'Arkoon, c'est peut être la journalisation des requêtes, non ?
Et le filtrage d'URL prends plutot le rôle de SquidGuard ?
En tout cas, je tenais vraiment à remercier tous les protagonistes de ce post.
Marsh Posté le 07-03-2008 à 17:43:51
Juste une question, quand on achète une appliance comme Arkoon, concernant les mises à jour logiciel ou même des bases antivirus / antispyware, c'est payant ?par abonnement ?
Merci,
Marsh Posté le 05-03-2008 à 18:03:59
Bonjour,
Nous allons mettre en place une nouvelle infrastructure dans notre entreprise : une DMZ.
Actuellement nous utilisons toutes les ressources d'une entreprise dans laquelle on travaillait, mais on veux devenir indépendant.
Nous allons avoir un abonnement Internet avec 5 IP Publiques et notre infrastructure devra comporter une DMZ avec un serveur web, ftp, messagerie, firewall, proxy...
Il y a une bonne dizaine d'utilisateurs et nous devons monter des VPN (PPTP / IPSEC).
Est-ce que le type de solution tout-en-un est une bonne idée ?
Connaissez vous d'autres type de solution tout-en-un a part celle-ci : http://www.telmatweb.com/tw10_fr.php
Je sais très bien que tous ces services peuvent se trouver en logiciel libre, mais la configuration n'est pas aussi facile et il n'y a pas de support. Cependant je suis ouvert à tout type de remarque afin de mettre en place la meilleure architecture possible.
D'avance merci,