Projet de mutation réseaux entreprise

Projet de mutation réseaux entreprise - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 17-03-2010 à 17:29:56    

Bonjour

 

Dans ma boite, on est en pleine réflexion sur ce qui doit changer dans notre infrastructure réseaux.
J'y suis depuis quelques mois, et ma tâche est aujourd'hui de proposer une autre archi que celle dont on dispose, car il y a des trucs c'est n'importe quoi, on voudrait gagner en autonomie par rapport à notre opérateur,
Et j'aimerais vous mêler à la réflexion.
En échange de cette collaboration constructive, je m'engage (outre ma reconnaissance à la communauté à HFR  :o ) à diffuser ce qui peut aider à reproduire ce genre d'architecture (règles de filtrage, plan réseau simplifié...), mais bien sur rien qui ne soit dangereux pour la sécurité de mon entreprise. (Non non, jvous donnerais pas notre ip fixe et le mot de passe root/admin  [:airforceone]  :o )
Si une réflexion globale tente certains d'entre vous, vous êtes les bienvenus ici  :hello:

 
  • État des lieux aujourd'hui

Un VPN opérateur entre nos sites, géré par un opérateur médiocre sans aucune réactivité.
Chaque site du VPN possède une ligne asdl ou sdsl.
Un site en particulier possède 1 adsl, 1 sdsl dans ce vpn, et très bientôt une sdsl indépendante (donc hors vpn opérateur, chez un autre opérateur)

 

Il y a encore peu de temps, les "brillants techs du service info" avaient mis des ports ouverts directs sur notre contrôleur de domaine pour y accéder en rdp depuis n'importe où, des ports dédiés pour leur émule, j'en passe et des meilleurs.

 
  • 3 projets, dissociables (quoique...)

Mise à dispo de services (web, autres...) pour l'extérieur.
D'ailleurs c'est un peu commencé, ya un port qui donne accès à un serveur ssh sur une débian avec authentification clé privée/publique.
Cette problématique arrive au grand galop. La question est en gros : "comment mettre à disposition des services aux gens à l'extérieur, sans pour autant mettre en péril la sécurité de notre LAN ?"
Idée bête : mettre en place une DMZ
Le site qui doit héberger cette DMZ est celui qui contient 1adsl et 1 sdsl dans le VPN, et une sdsl indépendante.
Une des sdsl peut être dédiée aux flux internet vers cette DMZ.
Certains services présents dans cette DMZ doivent être accessibles depuis le LAN.

 

Comment s'y prendre pour s'affranchir de demander quelque chose à l'opérateur ?

 

Première idée : mettre une passerelle ipcop/smoothwall/... avec 3 interfaces red/green/orange
Quelles sont les conséquences, les choses à modifier ? j'imagine qu'il faut changer l'ip de la passerelle du routeur sdsl, pour la mettre sur une autre plage d'ip que celle de du LAN. Ou peut-être juste jouer sur les masque de sous reseaux entre la rouge et la verte, pour ne toucher à rien de l'existant niveau adressage ?

 

Deuxième idée : mettre un boitier arkoon/autre...
Idem pour les conséquences ?

 

Autre idée ?

 

Mettre en place un contrôle de flux.
Bon là, je suis ouvert à tout. Faut dire que c'est babeloued aujourd'hui, rien de restreint, emule-limewire and co, surf sauvage, etc... que du bonheur pour les user, quel cauchemar à essayer de mettre de l'ordre.
Mettre un proxy ? laisser les adsl pour le vpn, sans sortie internet et mettre une unique sortie sdsl sur un site avec un proxy pour la sortie sur le net et mettre un proxy devant ?  Mettre un smoothwall par site ? autre ?

 

Se débarrasser de l'opérateur et être indépendant pour VPN
Bon on se recoupe avec les passages au dessus. La transition risque être compliquée, reste à trouver une méthode fiable.

 

Question subsidiaire : On peut monter un vpn avec des boitiers ipcop/autre placé sur chaque site du vpn existant, à travers le VPN ? un vpn dans un vpn quoi ? J'imagine que oui, à pars la perte de bande passante due à l'en-capsulage, on doit pas avoir d'autre soucis (ou bien ?)

 

Pff, quel chantier, c'est pas openbar, mais tout débat sur les points ci dessus sont les bienvenues  :jap:

Message cité 1 fois
Message édité par tuxbleu le 17-03-2010 à 17:31:35

---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 17-03-2010 à 17:29:56   

Reply

Marsh Posté le 17-03-2010 à 17:30:04    

.


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 17-03-2010 à 17:30:10    

..


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 17-03-2010 à 18:34:27    

tuxbleu a écrit :


Première idée : mettre une passerelle ipcop/smoothwall/... avec 3 interfaces red/green/orange
Quelles sont les conséquences, les choses à modifier ? j'imagine qu'il faut changer l'ip de la passerelle du routeur sdsl, pour la mettre sur une autre plage d'ip que celle de du LAN. Ou peut-être juste jouer sur les masque de sous reseaux entre la rouge et la verte, pour ne toucher à rien de l'existant niveau adressage ?
 
Mettre en place un contrôle de flux.
Bon là, je suis ouvert à tout. Faut dire que c'est babeloued aujourd'hui, rien de restreint, emule-limewire and co, surf sauvage, etc... que du bonheur pour les user, quel cauchemar à essayer de mettre de l'ordre.  
Mettre un proxy ? laisser les adsl pour le vpn, sans sortie internet et mettre une unique sortie sdsl sur un site avec un proxy pour la sortie sur le net et mettre un proxy devant ?  Mettre un smoothwall par site ? autre ?
 
 


 
Au sujet de la mise en oeuvre d'un proxy, il me semble qu'IPcop gère ça très bien (avec Black List, Gestion des ports et tout et tout...). L'avantage est qu'il est léger et facile à installer et manager  :)


---------------
Google n'est pas toujours mon ami... Mon site : http://francoisdm.fr
Reply

Marsh Posté le 17-03-2010 à 22:24:13    

joelmander a écrit :


 
Au sujet de la mise en oeuvre d'un proxy, il me semble qu'IPcop gère ça très bien (avec Black List, Gestion des ports et tout et tout...). L'avantage est qu'il est léger et facile à installer et manager  :)


je note :jap:


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 18-03-2010 à 15:14:55    

humm, pas de gros enthousiasme.


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 19-03-2010 à 12:12:00    

Ben que dire...
 
Mise à disposition d'un service à l'extérieur : pourquoi pas, d'ailleurs en terme d'image pour une entreprise cela peut être un vrai plus si il est bien maîtrisé.
Mais entre avoir son propre serveur web (avec flux RSS des actualités de l'entreprise) et ftp (pour distribution des mises à jour des produits si logiciels), je pencherais plutôt vers un prestataire externe qui pourra proposer un service meilleur (en terme de disponibilité réseau) et d'une sécurité accrue (puisque indépendant du réseau de l'entreprise).
Seul un accès webmail nécessiterait l'ouverture "vers l'extérieur" et pourrait être envisagé en terme de sécurité.
 
Contrôle de flux : effectivement un IPCop ne serait pas superflu si le réseau est dans un état aussi "pourri" que tu l'indiques. Ou pourquoi pas un "routeur/nettoyeur" avec iptables ?
Tu peux aussi te tourner vers du m0n0wall, qui tournant sur des petites machines (aussi bien "de récupération" - mais à déconseiller - que de l'ITX, avec montage en rack), est particulièrement efficace. Tu peux aussi voir pfSense, moins "bridé" que m0n0wall.
 
Opérateur VPN : là il reste à savoir ce que tu appelles "opérateur VPN". Notamment en terme d'accès distant, il se peut qu'un ensemble de connexion ADSL "grand public" puisse suffire si certaines succursales peuvent s'en contenter (genre abo Orange 20M), avec un "boîtier contrôleur de flux" (m0n0wall, pfSense, iptables...), et l'ouverture/translation de ports vers les serveurs contenant les données et applications.


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 19-03-2010 à 14:06:00    

bardiel a écrit :

Ben que dire...
 
Mise à disposition d'un service à l'extérieur : pourquoi pas, d'ailleurs en terme d'image pour une entreprise cela peut être un vrai plus si il est bien maîtrisé.
Mais entre avoir son propre serveur web (avec flux RSS des actualités de l'entreprise) et ftp (pour distribution des mises à jour des produits si logiciels), je pencherais plutôt vers un prestataire externe qui pourra proposer un service meilleur (en terme de disponibilité réseau) et d'une sécurité accrue (puisque indépendant du réseau de l'entreprise).
Seul un accès webmail nécessiterait l'ouverture "vers l'extérieur" et pourrait être envisagé en terme de sécurité.
 
 
Contrôle de flux : effectivement un IPCop ne serait pas superflu si le réseau est dans un état aussi "pourri" que tu l'indiques. Ou pourquoi pas un "routeur/nettoyeur" avec iptables ?
 
T'as des models en tête là, que je regarde ce que ca peut donner ? Case place juste derrière le modem/routeur opérateur ?
 
 
Tu peux aussi te tourner vers du m0n0wall, qui tournant sur des petites machines (aussi bien "de récupération" - mais à déconseiller - que de l'ITX, avec montage en rack), est particulièrement efficace. Tu peux aussi voir pfSense, moins "bridé" que m0n0wall.
 

Vais regarder ça.

 
Opérateur VPN : là il reste à savoir ce que tu appelles "opérateur VPN". Notamment en terme d'accès distant, il se peut qu'un ensemble de connexion ADSL "grand public" puisse suffire si certaines succursales peuvent s'en contenter (genre abo Orange 20M), avec un "boîtier contrôleur de flux" (m0n0wall, pfSense, iptables...), et l'ouverture/translation de ports vers les serveurs contenant les données et applications.


Message édité par tuxbleu le 19-03-2010 à 23:27:10

---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 19-03-2010 à 15:59:01    

Met en gras les différences et tes questions quand tu mets une citation :D
 
En fait il s'agit bêtement d'intercaler effectivement derrière ton modem/routeur (sur chaque site) un serveur (debian, suse, ce que tu veux) qui possède 2 cartes réseaux (ou plus si tu souhaites une DMZ, un réseau "secondaire" intégré dans le site comme un accès aux personnes extérieures, client, personnel de passage, etc) avec des règles de routage et de sécurisation.
 
Pour faire (très) court, iptables agit comme un firewall agissant sur plusieurs niveaux (tu peux par exemple bloquer facilement une attaque DDoS, ou encore bloquer la réponse au ping, ne pas répondre à des "appels" sur tel ou tel port, etc), auquel tu peux adjoindre les services d'un VPN (OpenVPN), d'un serveur web (pour un intranet), d'un IDS, etc... sur la même machine.
 
m0n0wall (et son dérivé pfSense) est basé sur un autre principe : proposer un OS fait pour cela (base BSD), "tout en un", paramétrable entièrement par le réseau (firefox/ie/..., et ssh). pfSense a été développé de manière à intégrer certaines idées qui ont été proposé pour m0n0wall, mais le créateur de ce dernier souhaitait garder un OS le plus léger possible (je fais tourner un m0n0 sur un vieux p2 350MHz avec 128Mo de RAM pour 6 PC chez moi - enfin chez les parents :whistle: - sans soucis et on pourrait en théorie descendre à un Pentium 166MHz et 32Mo de RAM :lol: ).
 
Du même gabarit, développé sur la base de m0n0wall, FreeNAS est un OS pour NAS et Asterisk/Askozia est un OS pour... PABX ! :bounce:


---------------
Grippe ? Coronavirus ? Portez votre masque correctement ! :D
Reply

Marsh Posté le 19-03-2010 à 23:26:33    

bardiel a écrit :

Met en gras les différences et tes questions quand tu mets une citation :D
 
En fait il s'agit bêtement d'intercaler effectivement derrière ton modem/routeur (sur chaque site) un serveur (debian, suse, ce que tu veux) qui possède 2 cartes réseaux (ou plus si tu souhaites une DMZ, un réseau "secondaire" intégré dans le site comme un accès aux personnes extérieures, client, personnel de passage, etc) avec des règles de routage et de sécurisation.
 
Pour faire (très) court, iptables agit comme un firewall agissant sur plusieurs niveaux (tu peux par exemple bloquer facilement une attaque DDoS, ou encore bloquer la réponse au ping, ne pas répondre à des "appels" sur tel ou tel port, etc), auquel tu peux adjoindre les services d'un VPN (OpenVPN), d'un serveur web (pour un intranet), d'un IDS, etc... sur la même machine.
 
m0n0wall (et son dérivé pfSense) est basé sur un autre principe : proposer un OS fait pour cela (base BSD), "tout en un", paramétrable entièrement par le réseau (firefox/ie/..., et ssh). pfSense a été développé de manière à intégrer certaines idées qui ont été proposé pour m0n0wall, mais le créateur de ce dernier souhaitait garder un OS le plus léger possible (je fais tourner un m0n0 sur un vieux p2 350MHz avec 128Mo de RAM pour 6 PC chez moi - enfin chez les parents :whistle: - sans soucis et on pourrait en théorie descendre à un Pentium 166MHz et 32Mo de RAM :lol: ).
 
Du même gabarit, développé sur la base de m0n0wall, FreeNAS est un OS pour NAS et Asterisk/Askozia est un OS pour... PABX ! :bounce:


J'ai du mal à voir une différence entre m0n0wall et un ipcop, c'est le même principe, non ?


---------------
Mon topic de vente - Mon feed-back
Reply

Marsh Posté le 19-03-2010 à 23:26:33   

Reply

Marsh Posté le 20-03-2010 à 00:53:11    

Salut,
 
Pour la publication de services, tout dépend du niveau de disponibilité que tu veux offrir à l'extérieur. Selon celui-ci, l'externalisation chez un prestataire peut effectivement répondre à un certain niveau de criticité, tandis que la DMZ permet une plus grande souplesse d'administration mais une exploitation plus importante. Dans l'idéal, il faudrait que tu positionnes un boitier firewall type Juniper SSG5, si celui-ci correspond bien entendu aux performances nécessaires pour le trafic que tu souhaites écouler avec un contrat de maintenance qui va bien.
 
Pour les modifications d'architecture, il faudra certainement que tu joues avec du routage (du statique sera amplement suffisant) pour acheminer tes flux Internet via ton routeur possédant l'accès et les flux d'entreprise vers les sites qui vont bien. Quelles sont les passerelles par défaut de tes sites aujourd'hui et le plan d'adressage utilisé sur chacun d'entre eux ?  
 
Pour le proxy, je pense que la meilleure solution est de tout centraliser sur un site et de le dimensionner pour permettre l'accès à tous tes utilisateurs (combien au total ?). Le fait de mettre un accès à Internet par site va nécessiter la mise en place d'un firewall à chaque fois et d'un proxy, ce qui, à mon sens, sera bien plus couteux financièrement et au niveau exploitation qu'un accès central qui pourra amplement remplir son rôle. Celui-ci devra être le point de passage obligé pour tous les flux sortants. La configuration du proxy pourra être transparente ou explicite en fonction des équipements dont tu disposes (si tu es en environnement Microsoft penche-toi du côté du protocole WPAD dans un premier temps peut-être).
 
Concernant le dernier point, tu ne pourras jamais réellement t'affranchir d'un opérateur, mais juste limiter son implication aux premières couches. Dans l'idée, tu peux, si tu possèdes un accès à Internet par site, créer un réseau VPN avec IPSEC avec plusieurs topologies. Si aucun besoin de communications inter-sites ne se fait sentir, une topologie dite "hub and spoke" sera suffisante. Sinon, il faudra regarder du côté des technos un peu plus complexe comme DMVPN de chez Cisco. Par contre, cette configuration ne te permet pas d'assurer de qualité de service compte tenu du fait que tout repose sur des accès à Internet.
 
A l'opposé, tu peux aussi bâtir ton réseau en utilisant des liens purement L2 mis à disposition par un opérateur, sur lesquels tu peux décider ou non de positionner ta couche de routage. Combien de sites as-tu au total ? répartis de quelle manière géographiquement ?
 
Enfin, essaie peut être de mettre tous tes accès en SDSL, pour gagner un minimum en confort d'utilisation (dépendant de tes besoins aussi bien sûr !)
 
Bon courage !


Message édité par Pandinus2k4 le 20-03-2010 à 00:54:55

---------------
Le blog des nouvelles technologies réseaux, télécoms et du domaine de la sécurité
Reply

Marsh Posté le 20-03-2010 à 18:12:17    

Tu ne sera jamais indépendant des opérateurs puisque tout ce qui permet wan et web en est dépendant.
Mieux vaut prendre un seul opérateur pour te créer ton backbone.
 
Un réseau MPLS avec le site siège comme tête de sortie internet avec la sécurisation (juniper, arkoon ou autre peu importe) qui va bien... tu as répondu à toutes tes problématiques sans passer par X solutions.
Tu peux réduire les liens sur les sites distant est ajouter des box2box pour accélérer les flux à comparer et à dimensionner par rapport aux tarifications opérateurs.
 
Pour renforcer la sécuriser des accès nomades tu peux ajouter quelque chose du type RSA securID


Message édité par akabis le 20-03-2010 à 18:18:08
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed