salut,
je sui actuellemnt en stage de fin de formation, dans un centre d'appel, entrain de preparer mon memoire (bts info gestion).
voilà on me demande de mettre en place un nouveau reseau pour le centre. ce reseau aura :
- près de 100 postes
- un serveur linux pour des applications et dhcp
- un serveur win 2003 server controler de domaine
- un serveur de compression de voix
- un routeur cisco pour internet
alors, j'aimerai savoir quelle conception pourrai je mettre en place pour un reseau fiable et securisé?
peux-je laisser tous les postes dans le meme domaine de broadcast ou il faudra necessairement segmenter le reseau en sous reseaux ?
je n'ai jamais utiliser du dmz, alors je voudrai en profiter pour en mettre place un.
est-il possible d'utiliser du dmz? si oui quels sont les serveurs(dans mon cas), susceptibles de s'y trouver ? et quel parefeux(soft), me conseillez-vous?
j'ai vraiment besoin d'aide car je n'ai jamais mis en place un tel reseau
merci d'avance pour votre aide
p.s: si possible un schema de conception pour plus m'eclaircir.
Forum général.général reseau avec du dmz
24
avr.
2007
# va relire ton cours de reseau
Posté par NeoX . Évalué à 4.
mais pour moi une DMZ est une zone reseau "coincée" entre 2 parefeux separant l'exterieur (WAN) et l'interieur (LAN).
C'est pour mettre des serveurs qui communique avec l'interieur ET avec l'exterieur
schematiquement ca donnerait
wan --- [parefeu] --- DMZ --- [parefeu] --- lan
au mieux tu mettrais le serveur web/ftp de la boite ou la messagerie en DMZ.
dans ton cas je ne vois que
- serveur d'appli (donc interne)
- serveur de domaine (donc interne)
- serveur compression de voix (interne, et peut-etre externe pour envoyer les comm)
donc peut-etre juste le serveur de compression en DMZ vu qu'il communique probablement avec le lan et le wan
ensuite des pistes pour tes questions
A°) 1 seul reseau ou plusieurs sous-reseau.
100 machines s'il n'y a pas de contrainte de securité (une salle de cours, une salle de conference et des machines en libre service n'ont pas les memes contraintes)
alors je ferais un seul reseau en DHCP
B°) parefeu :
pour faire propre est bien, des machines dédiées.
pour faire une maquette, 2 machines type *nix/*BSD avec 2 cartes reseaux chacune et iptable
[^] # Re: va relire ton cours de reseau
Posté par tuiu pol . Évalué à 2.
vi c'est bien ça
[^] # Re: va relire ton cours de reseau
Posté par NeoX . Évalué à 2.
je vais peut-etre retrouvé du travail alors...
:-p
[^] # Re: ...reseau
Posté par B. franck . Évalué à 2.
wan
|
|
[parefeu] --- lan
|
|
DMZ
le lan n'a pas besoin d'avoir accès à la dmz pour aller dans le wan
(et le wan dans la dmz pour aller dans le lan (pour le masquerading par exemple))
peux-je laisser tous les postes dans le meme domaine de broadcast ou il faudra necessairement segmenter le reseau en sous reseaux ?
étant donné qu'un serveur de domaine sera présent, il évitera (normalement) l'avalanche de broadcasts que génère un réseau windos sans contrôleur, le besoin de segmentation n'est donc pas utile. (il rajouterait de la complexité)
[^] # Re: ...reseau
Posté par ragoutoutou . Évalué à 2.
De plus, je me permettrai d'ajouter que "et le wan dans la dmz pour aller dans le lan" est un morceau de phrase inquiétant...
Dans une sécurité d'entreprise bien conçue, on ne donne JAMAIS un accès direct depuis le wan vers le lan, et s'il faut tout de même qu'on puisse accéder au lan depuis l'extérieur, on le fait via VPN, avec un gateway vpn qui lui se situe en DMZ.
Quelques autres points:
- Windows aime bien avoir le dhcp sous contrôle. Si le dhcp est juste là pour des postes de travail windows dans un AD, autant laisser windows faire mumuse avec le dhcp, afin d'avoir une bonne intégration avec le DNS d'AD (je suppose que le DNS sera dans AD, vu que tu n'en parles pas en dépit du fait que c'est un point vital dans un réseau)
- L'accès à internet via proxy ne serait-il pas à considérer? Les connexions directes sont plus difficiles à contrôler. Tout le monde doit-il avoir accès à la mule, mns, bittorent, ou c'est juste pour surfer dans le cadre des activités professionnelles?
- redondance? drp? backups?
[^] # Re: ...reseau
Posté par B. franck . Évalué à 1.
mais non, je suis juste déjà un peu trop loin dans le camboui:
Dans une sécurité d'entreprise bien conçue, on ne donne JAMAIS un accès direct depuis le wan vers le lan, et s'il faut tout de même qu'on puisse accéder au lan depuis l'extérieur, on le fait via VPN, avec un gateway vpn qui lui se situe en DMZ.
donc tu ne donnes pas accès à internet à ton lan ?
bien sûr que si et tu autorises donc les accès pour le masquerading
wan->lan ( c'est pour ça que je parlais de camboui).
Il est bien évident que les communication wan-> lan ne doivent être autorisées que si elles ont été initiées depuis le lan (--state ESTABLISHED,RELATED pour parler iptables) ce que j'ai omis de préciser puisque je parlais de masquerading.
- L'accès à internet via proxy ne serait-il pas à considérer? Les connexions directes sont plus difficiles à contrôler.
on a parlé d'un firewall, le contrôle se fait dessus.
Le proxy serait utile pour alléger l'utilisation de la liaison www par l'utilisation du cache et pas le contrôle des connexions qui serait redondant et source de problèmes.
Tout le monde doit-il avoir accès à la mule, mns, bittorent, ou c'est juste pour surfer dans le cadre des activités professionnelles?
attention, tu autorises du traffic wan-> lan par translation d'adresse là
tu violes la dmz ;)
[^] # Re: ...reseau
Posté par ragoutoutou . Évalué à 3.
Non, dans un lan d'entreprise, il est préférable de ne pas donner pas accès direct au net. L'accès au http/ftp/... doit se faire via proxy avec authentication, ça permet de ne pas donner accès au web à tout va.
De plus ça permet de filtrer les contenus (bloquer par exemple le téléchargement d'exécutables), voir de mettre en place un système antivirus.
Pour un marteau, tous les problèmes ressemblent à des clous, et en ce qui te concerne, tu es trop braqué sur iptables pour décomposer le problème correctement.
Un firewall, ça sert à bloquer ou autoriser des connexions sur base de la source et/ou du destinataire, ou du type de protocole, ou du comportement du protocole, pas des contenus ou des utilisateurs, à fortiori quand on a 100 postes de travail en dhcp.
# Re: reseau...
Posté par cerco . Évalué à -1.
comme pour le moment je n'ai encore aucun serveur (web, dns, mail...), accessible de l'exterieur, à mettre en place.
donc je crois que je mettrai juste un pare-feu derriere mon routeur, en occurence iptables, et qui sera ensuite relié à mon reseau interne. au juste j'ai pensé aux ACLs du routeurs CISCO, ne peuvent-ils pas jouer ce role de pare-feu ?
bon pour les utilisateurs, etant donné qu'ils ont tous les meme fonctions, roles et meme droits sur les fichiers, donc je prefere mettre tous les postes dans un meme reseau avec dhcp et un controleur de domaine. evidamment le DNS sera dans AD.
bon pour terminer comment pourrai je configurer une sauvegarde automatique sur mon serveur linux (applications), fedora core 5?
où est ce que je peux trouver un bon tuto pour les details sur la config de iptables? aussi pour son utilisation devrai-je dedier une machine linux ou bien d'autres services ou applications peuvent tourner avec ?
merci encore
[^] # Re: reseau...
Posté par NeoX . Évalué à 1.
2°) tu peux faire tourner d'autres services sur le parfeu, mais ce n'est pas forcement recommandé (acces depuis/vers le net/le lan)
pour la doc
Google est ton ami, Lea-Linux aussi
et enfin ton support de cours et les TP que tu as pu faire (ou dans l'autre sens)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.