Forum général.général reseau avec du dmz

Posté par  .
Étiquettes : aucune
0
24
avr.
2007
salut,
je sui actuellemnt en stage de fin de formation, dans un centre d'appel, entrain de preparer mon memoire (bts info gestion).
voilà on me demande de mettre en place un nouveau reseau pour le centre. ce reseau aura :
- près de 100 postes
- un serveur linux pour des applications et dhcp
- un serveur win 2003 server controler de domaine
- un serveur de compression de voix
- un routeur cisco pour internet
alors, j'aimerai savoir quelle conception pourrai je mettre en place pour un reseau fiable et securisé?
peux-je laisser tous les postes dans le meme domaine de broadcast ou il faudra necessairement segmenter le reseau en sous reseaux ?
je n'ai jamais utiliser du dmz, alors je voudrai en profiter pour en mettre place un.
est-il possible d'utiliser du dmz? si oui quels sont les serveurs(dans mon cas), susceptibles de s'y trouver ? et quel parefeux(soft), me conseillez-vous?
j'ai vraiment besoin d'aide car je n'ai jamais mis en place un tel reseau
merci d'avance pour votre aide

p.s: si possible un schema de conception pour plus m'eclaircir.
  • # va relire ton cours de reseau

    Posté par  . Évalué à 4.

    ou alors il faut que je me recycle (cela a peut-etre evoluer en 10 ans)

    mais pour moi une DMZ est une zone reseau "coincée" entre 2 parefeux separant l'exterieur (WAN) et l'interieur (LAN).
    C'est pour mettre des serveurs qui communique avec l'interieur ET avec l'exterieur

    schematiquement ca donnerait

    wan --- [parefeu] --- DMZ --- [parefeu] --- lan

    au mieux tu mettrais le serveur web/ftp de la boite ou la messagerie en DMZ.

    dans ton cas je ne vois que
    - serveur d'appli (donc interne)
    - serveur de domaine (donc interne)
    - serveur compression de voix (interne, et peut-etre externe pour envoyer les comm)

    donc peut-etre juste le serveur de compression en DMZ vu qu'il communique probablement avec le lan et le wan

    ensuite des pistes pour tes questions

    A°) 1 seul reseau ou plusieurs sous-reseau.
    100 machines s'il n'y a pas de contrainte de securité (une salle de cours, une salle de conference et des machines en libre service n'ont pas les memes contraintes)
    alors je ferais un seul reseau en DHCP

    B°) parefeu :
    pour faire propre est bien, des machines dédiées.
    pour faire une maquette, 2 machines type *nix/*BSD avec 2 cartes reseaux chacune et iptable
    • [^] # Re: va relire ton cours de reseau

      Posté par  . Évalué à 2.

      mais pour moi une DMZ est une zone reseau "coincée" entre 2 parefeux separant l'exterieur (WAN) et l'interieur (LAN).
      C'est pour mettre des serveurs qui communique avec l'interieur ET avec l'exterieur


      vi c'est bien ça
    • [^] # Re: ...reseau

      Posté par  . Évalué à 2.

      je me permets de préciser le schéma pour améliorer la compréhension d'une "zone démilitarisée" et mettre en évidence le besoin de 3 interfaces réseaux lorsqu'on décide d'en créer une, bien qu'avec l' "ipaliasing" on puisse s'en sortir avec seulement 2:

      wan
      |
      |
      [parefeu] --- lan
      |
      |
      DMZ

      le lan n'a pas besoin d'avoir accès à la dmz pour aller dans le wan
      (et le wan dans la dmz pour aller dans le lan (pour le masquerading par exemple))

      peux-je laisser tous les postes dans le meme domaine de broadcast ou il faudra necessairement segmenter le reseau en sous reseaux ?

      étant donné qu'un serveur de domaine sera présent, il évitera (normalement) l'avalanche de broadcasts que génère un réseau windos sans contrôleur, le besoin de segmentation n'est donc pas utile. (il rajouterait de la complexité)
      • [^] # Re: ...reseau

        Posté par  . Évalué à 2.

        Pour toutes les implémentations de dmz que j'ai pu voir, il n'y a jamais un parefeu faisant une étoile entre lan, wan, et dmz, mais bien un parefeu entre le wan et la dmz et un parefeu entre la dmz et le lan.

        De plus, je me permettrai d'ajouter que "et le wan dans la dmz pour aller dans le lan" est un morceau de phrase inquiétant...

        Dans une sécurité d'entreprise bien conçue, on ne donne JAMAIS un accès direct depuis le wan vers le lan, et s'il faut tout de même qu'on puisse accéder au lan depuis l'extérieur, on le fait via VPN, avec un gateway vpn qui lui se situe en DMZ.

        Quelques autres points:

        - Windows aime bien avoir le dhcp sous contrôle. Si le dhcp est juste là pour des postes de travail windows dans un AD, autant laisser windows faire mumuse avec le dhcp, afin d'avoir une bonne intégration avec le DNS d'AD (je suppose que le DNS sera dans AD, vu que tu n'en parles pas en dépit du fait que c'est un point vital dans un réseau)

        - L'accès à internet via proxy ne serait-il pas à considérer? Les connexions directes sont plus difficiles à contrôler. Tout le monde doit-il avoir accès à la mule, mns, bittorent, ou c'est juste pour surfer dans le cadre des activités professionnelles?

        - redondance? drp? backups?
        • [^] # Re: ...reseau

          Posté par  . Évalué à 1.

          De plus, je me permettrai d'ajouter que "et le wan dans la dmz pour aller dans le lan" est un morceau de phrase inquiétant...

          mais non, je suis juste déjà un peu trop loin dans le camboui:

          Dans une sécurité d'entreprise bien conçue, on ne donne JAMAIS un accès direct depuis le wan vers le lan, et s'il faut tout de même qu'on puisse accéder au lan depuis l'extérieur, on le fait via VPN, avec un gateway vpn qui lui se situe en DMZ.

          donc tu ne donnes pas accès à internet à ton lan ?
          bien sûr que si et tu autorises donc les accès pour le masquerading
          wan->lan ( c'est pour ça que je parlais de camboui).

          Il est bien évident que les communication wan-> lan ne doivent être autorisées que si elles ont été initiées depuis le lan (--state ESTABLISHED,RELATED pour parler iptables) ce que j'ai omis de préciser puisque je parlais de masquerading.

          - L'accès à internet via proxy ne serait-il pas à considérer? Les connexions directes sont plus difficiles à contrôler.

          on a parlé d'un firewall, le contrôle se fait dessus.
          Le proxy serait utile pour alléger l'utilisation de la liaison www par l'utilisation du cache et pas le contrôle des connexions qui serait redondant et source de problèmes.

          Tout le monde doit-il avoir accès à la mule, mns, bittorent, ou c'est juste pour surfer dans le cadre des activités professionnelles?

          attention, tu autorises du traffic wan-> lan par translation d'adresse là
          tu violes la dmz ;)
          • [^] # Re: ...reseau

            Posté par  . Évalué à 3.

            donc tu ne donnes pas accès à internet à ton lan ?


            Non, dans un lan d'entreprise, il est préférable de ne pas donner pas accès direct au net. L'accès au http/ftp/... doit se faire via proxy avec authentication, ça permet de ne pas donner accès au web à tout va.
            De plus ça permet de filtrer les contenus (bloquer par exemple le téléchargement d'exécutables), voir de mettre en place un système antivirus.

            Le proxy serait utile pour alléger l'utilisation de la liaison www par l'utilisation du cache et pas le contrôle des connexions qui serait redondant et source de problèmes.


            Pour un marteau, tous les problèmes ressemblent à des clous, et en ce qui te concerne, tu es trop braqué sur iptables pour décomposer le problème correctement.

            Un firewall, ça sert à bloquer ou autoriser des connexions sur base de la source et/ou du destinataire, ou du type de protocole, ou du comportement du protocole, pas des contenus ou des utilisateurs, à fortiori quand on a 100 postes de travail en dhcp.
  • # Re: reseau...

    Posté par  . Évalué à -1.

    merci à tous pour vos suggestions qui sont très clairs et m'ont permis de bien comprendre certains termes, notamment le dmz.
    comme pour le moment je n'ai encore aucun serveur (web, dns, mail...), accessible de l'exterieur, à mettre en place.
    donc je crois que je mettrai juste un pare-feu derriere mon routeur, en occurence iptables, et qui sera ensuite relié à mon reseau interne. au juste j'ai pensé aux ACLs du routeurs CISCO, ne peuvent-ils pas jouer ce role de pare-feu ?
    bon pour les utilisateurs, etant donné qu'ils ont tous les meme fonctions, roles et meme droits sur les fichiers, donc je prefere mettre tous les postes dans un meme reseau avec dhcp et un controleur de domaine. evidamment le DNS sera dans AD.
    bon pour terminer comment pourrai je configurer une sauvegarde automatique sur mon serveur linux (applications), fedora core 5?
    où est ce que je peux trouver un bon tuto pour les details sur la config de iptables? aussi pour son utilisation devrai-je dedier une machine linux ou bien d'autres services ou applications peuvent tourner avec ?
    merci encore
    • [^] # Re: reseau...

      Posté par  . Évalué à 1.

      1°) UNE dmz (DeMilitarised Zone => Zone DeMilitarisée => UNE zone)

      2°) tu peux faire tourner d'autres services sur le parfeu, mais ce n'est pas forcement recommandé (acces depuis/vers le net/le lan)

      pour la doc

      Google est ton ami, Lea-Linux aussi
      et enfin ton support de cours et les TP que tu as pu faire (ou dans l'autre sens)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.