Architecture réseau

Pause Café
#1

salut le smilouzes

une question sans forcement de rapport avec debian même si ce sera forcement l’OS retenu :smiley: .

je me pose pas mal de questions par rapport à l’architecture de mon reseau.

est ce qu le serveur de mail doit être dans la DMZ ou est ce je ne mets qu’un serveur relai + AV + spam dans la DMZ et le serveur mail ailleurs ?

est ce que j’utilise les trois zones LAN, WAN, DMZ ou est ce que je mets une zonne blindée supplémentaire pour les serveurs fichiers, erp, …

est ce que je mets les serveurs fichiers et BDD sur la même zone que les serveurs ou est ce que je les mets encore derrière ???

autant de questions que je me pose pour assuer la securité des machines et des données, mais j’aiu peur qu’en créant un truc trop biscornu je ne fasse que prendre des risques supplementaires et créer des goulots.

connaissez vous des sites qui traitent de ce sujet avec tout plein de schemas d’architecture et les explications qui vont avec.

merci
@+
:smt006

#2

Je vais prendre l’exemple de l’architecture de mon boulot que j’ai en partie utilisé chez moi (moi pas ingé secu :wink: )

Pour le serveur d’emails, il est preferrable de le mettre en lan et d’utiliser un relais en dmz pour la reception et l’envoi d’emails vers l’exterieur.

Normalement, ton lan devrait être un réseau de confiance donc “blindé de base”. Si c’est le cas, tout serveur ne devant pas communiquer en direct avec l’exterieur devrait être dans ton lan. A part pour des raisons de performances en terme de debit, je vois pas trop l’intérêt d’avoir encore des réseaux separés (ça c’est de contraintes à mon taf par exemple : Envoi d’images radio d’un serveur à des clients. faut que ça pulse pour les radiologues).

#3

Pas mal l’idée, depuis que j’ai goûté à la virtualisation XEN je me penche sur le montage d’un réseau domestique comme le suivant :

un serveur avec dessus :

Xen : _ monté dessus un proxy qui me permettra de monter dérrière et sécurisé avec un firewall hardware
_ un serveur web monté sur un serveur virtuel ( apache + mysql + ftp )
_ serveur mail
_ un serveur dédié au stockage domestique de mes photos, vidéos, musiques ( samba )

Ensuite j’ai une vielle machine pour bosser ( OpenERP, etc … )

Je rajoute un petit PCHC dans mon salon qui viendra piocher sur le samba pour diffusé les morceaux de zik de mes potzos musicien et les vidéos de vacances ( la télé sera elle assuré par un tuner TV sur ce même PC )

Je possède aussi un portable pour lier l’activité de mon entreprise à la maison et en déplacement ainsi qu’un acer one (netbook de merd… ) pour ma petite femme ( qui attend d’ailleurs avec moi un heureux évenement :smt003 )

Pour ce qui est du câblage le routeur en tête avec un firewall hardware ensuite mon gros serveur sur le quelle je branche le restant des PC en ethernet ( 3 port ethernet bientôt 4 car j’ai de temps en temps du passage chez moi :stuck_out_tongue: ), quand au portable il connecte en wifi depuis le routeur même si je pense avoir d’ici quelques temps une carte wifi qui me permettra de rendre le routeur le neuf ( ouhps SFR :smt005 ) pour me récupérer un “dlink” ne gérant que de l’ethernet et un serveur d’impression.
Enfin bref ça c’est viteuf car je suis encore en réglage de mon gros serveur et l’installation propre de l’acer one et de mon portable car j’aurai bien aimé leur compiler un petit OS stable ( mais je penche maintenant plus pour un simple système minimale avec un fluxbox dessus ).

Si jamais j’arrive à monter tout ça rapidement je ferais un petit tuto pour récapituler tous le montage de façon explicite car j’ai dût oublier pas mal de chose à mon humble avis.

En résumer je serait plutôt dans l’optique de diviser pour mieux régner :smt003 tout en ayant un IPCOP pour surveiller tout ce qu’il se passe ( dans le plus pur style KGB 8) )

#4

en théorie oui, mais on oublie trop souvent que le LAN abrite aussi tous nos méchants utilisateurs … :imp: Sachez mesdemoiselles et messieurs du libre que ces personnes en apparence tout a fait respectables sont la cause N°1 des problemes informatiques dans une société bien avant nos amis pirates et autres flibustiers en tout genre. mille millions de mille milliards de mille sabords de tonnerre de Brest.

RE-mille millions de mille milliards de mille sabords de tonnerre de Brest, la fée clochette est donc un monsieur ! :open_mouth: damned.

@clochette, beau reseau domestique, moi j’ai démonté le mien quand j’ai reçu la régularisation EDF en fin d’année … :frowning:

#5

en théorie oui, mais on oublie trop souvent que le LAN abrite aussi tous nos méchants utilisateurs … :imp: Sachez mesdemoiselles et messieurs du libre que ces personnes en apparence tout a fait respectables sont la cause N°1 des problemes informatiques dans une société bien avant nos amis pirates et autres flibustiers en tout genre. mille millions de mille milliards de mille sabords de tonnerre de Brest.

RE-mille millions de mille milliards de mille sabords de tonnerre de Brest, la fée clochette est donc un monsieur ! :open_mouth: damned.

@clochette, beau reseau domestique, moi j’ai démonté le mien quand j’ai reçu la régularisation EDF en fin d’année:frowning:[/quote]

dans l’ordre +1 éh éh oui un monsieur, et +1 la régularisation je m’y attends aussi, mais dans mon cas j’ai un bureau pro à la maison :smt003 donc la facture est amputé d’une partie de mes frais propre à mon activité ( sans exagération non plus :smt005 ).

Pour ce qui est de la sureté de ton réseaux un fail2ban avec un IPCOP pour surveiller devrait sans doute finir de te convaincre non ?

Sinon deux lien assez sympa même si c’est très synthétique ( voir trop pour le premier et très typé voir trop pour le deuxième )

http://www.labri.fr/perso/billaud/IUT/IO4-2005/Securite-2005.pdf

http://www.urec.cnrs.fr/IMG/pdf/articles.00.archi.reseau.pdf

un dernier lien qui synthétise la sécurité face au diverses agression que j’ai bien aimé lire même si j’ai encore pas mal de lacune sur le hacking et comment s’en protégé efficacement ( si seulement c’était possible :smt003 )

http://www.viagenie.qc.ca/fr/doc/cours/RISQ-2000.pdf

#6

Perso, j’ai gardé la box sfr parce qu’on peut la mettre en mode bridge. Qui dit bridge, dit gestion du routage et parefeu par un serveur :smt003 .
ça m’a permis entre autre de dedier une interface réseau du routeur au wifi (Je le considère pas comme un réseau aussi confiant que le lan). Les règles du parefeu y sont aussi bien plus stricts (connexion au wifi avec openvpn sinon on sort pas vers le net).

#7

Merci je retient l’information est toujours bonne à prendre :smt002

#8

routeur1 (avec acl) <=> | proxy + sonde réseau (snort), serveur mail | <=> routeur2 ou PC firewall <=> LAN

Un premier routeur (routeur1) pour filtrer l’accès (entrée/sortie) entre le grand nain ternet et ta DMZ.
Une DMZ avec ton serveur mail/spam/AV et autres éventuels serveur http, ftp…+ une machine qui fait proxy et sonde réseau pour logguer un peu le traffic et envoyer une alarme en cas de problème.
Un second routeur (au mieux) avec filtrage/acl ou un pc firewall à 2 interfaces (plus vulnérable qu’un vrai routeur) pour filtrer l’accès entre ta DMZ et ton LAN.
Ton LAN avec ton serveur de fichier (sécurisé avec authentification type LDAP pour les utilisateurs Samba avec impossibilité de se logguer au système avec ce compte + ACL sur les partages + système de sauvegarde des fichiers)

#9

[quote=“ReNzO_08”]routeur1 (avec acl) <=> | proxy + sonde réseau (snort), serveur mail | <=> routeur2 ou PC firewall <=> LAN

Un premier routeur (routeur1) pour filtrer l’accès (entrée/sortie) entre le grand nain ternet et ta DMZ.
Une DMZ avec ton serveur mail/spam/AV et autres éventuels serveur http, ftp…+ une machine qui fait proxy et sonde réseau pour logguer un peu le traffic et envoyer une alarme en cas de problème.
Un second routeur (au mieux) avec filtrage/acl ou un pc firewall à 2 interfaces (plus vulnérable qu’un vrai routeur) pour filtrer l’accès entre ta DMZ et ton LAN.
Ton LAN avec ton serveur de fichier (sécurisé avec authentification type LDAP pour les utilisateurs Samba avec impossibilité de se logguer au système avec ce compte + ACL sur les partages + système de sauvegarde des fichiers)[/quote]

Pourrais-tu détaillé en quoi c’est plus vulnérable car si tous est bien réglé il me semble que cela reviennent au même qu’un “failleur wall” hardware ? ou j’ai loupé quelque chose en tout cas l’idée des deux routeurs se retrouvent dans le derneir lien que j’ai proposé et le montage me parait très sûr mais alambiqué.

#10

sur le micro système d’un routeur il y a bien moins de services qui tournent que sur un système complet tel que Debian, à mon avis même en configurant et en laissant que le strict minimum tu aura toujours plus de services et donc de compromission potentielles, après c’est sur que si y a un service comme telnet qui tourne sur le routeur ça suffira a le rendre très vulnérable

#11

Il y a quelques années quand je m’interessais a ca, il y avait un bouquin de reference.
Ca date un peu meme si bcp de choses restent les memes.
“Building internet firewalls”. Ca repond pas a toutes les questions mais niveau schema de memoire y a ce qu’il faut :slightly_smiling:

Zone démilitarisée:
fr.wikipedia.org/wiki/Zone_d%C3% … ris%C3%A9e

#12

amha, si tu as bien parametré ton parefeu, tu as beau avoir plusieurs services qui tournent sur le serveur servant de routeur, ils ne sont pas visibles à partir du net. Les machines en dmz ne devraient pas non plus avoir accès à tous les services du parefeu s’il n’y a pas lieu d’être.

Exemple : Chez moi, j’ai qu’un port de visible à partir du net (6969, no comment :unamused: ), et encore c’est pour une autre machine. Dans les faits, il y a quelques services en plus qui tournent comme ssh.
Sans compter que bon, mettre à jour une debian stable, c’est pas la mort, je n’en suis pas aussi sûr pour un equipement dedié, mais là, j’ai pas trop d’experience sur ce sujet là, je ne fais que supposer.

#13

@Clochette > Pourquoi utiliser la virtualisation ? Quel est l’avantage par rapport aux techniques de séparation de tâches de linux (je pense notamment à chroot et UML) ? Je crois savoir que les techniques classiques permettent de garder la machine en état de marche même si un serveur « tombe » tout en utilisant au mieux les performances de ta machine.

S’il y a vraiment des manques au chroot pour ce genre d’utilisation c’est assez dommage parce que j’ai déjà vu des architectures à base de jail (sous FreeBSD donc) qui fonctionnaient parfaitement.

#14

Personnellement c’était par pur défi et envie de connaître la virtualisation, après je me suis dit que le principe de la virtualisation était aussi un gros avantage pour désactiver mes services à la volée en cas de compromission ou de travail dessus.

Enfin bref moi c’était avant tout pour apprendre et du coup une fois mit en place bah j’en profite :stuck_out_tongue:

Mais je doit avouer le montage de mon réseaux domestique est un “chouilla” :smt005 disproportionné.