Mrunknow Posté(e) le 3 mars 2009 Partager Posté(e) le 3 mars 2009 Bonjour a tous, Je souhaiterai "securisé" mon reseau, j'entends par là que je souhaiterai que les externes qui se connecte sur mon réseau (pour un acces web ) ne puisse de 1 pas voir les partages existant mais aussi qu'il ne propage pas d'éventuels virus/malware/... via leur machine! Qu'ils soient cloisonnés quoi... Je pensais a un VLAN de niveau 2 sur mes switchs HP procurve 2650 avec un serveur radius (HP oblige car pas de vpms) mais je viens d'apprendre que les serveur 2000/2003 standard n'acceptaient que 50 clients max et comme j'ai un peu plus de 100 machines et que je n'ai que des serveurs "standard" je ne peux pas me permettre d'avoir 3 serveurs radius Je ne sais donc pas comment resoudre cette problematique... si qqn avait une suggestion pour moi? Merci d'avance! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 3 mars 2009 Partager Posté(e) le 3 mars 2009 Salut, Donc je pense que c'est un réseau d'entreprise. La première chose est de crée des VLAN entre les services informatique de la boite. Une fois que tu as crée tes VLAN la tache suivante est de créer des ACL avancé (qui prenne en charge le port et les adresses IP). Ensuite pour certaine application tu peux mettre en place des ACL réflexives et des CBAC (pour éviter les attaques de type DOS) EN ce qui concerne les malware et tout autre virus il faut mettre en place une solution antivirus d'entreprise. Ensuite pour que des serveurs puissent être accessible via l'extérieur (comme les mail, les dns et compagnie) il faut que tu les mettent dans la DMZ. Donc ton serveur WEB tu le met dans la DMZ. Donc tu évite de mettre des services interne (comme les partages de fichier) sur les même machines qui doivent être dans la DMZ. Ou alors fait des VMware :) En ce qui concerne RADIUS, c'est un service qui limite l'accès physique au réseau. C'est à dire que lorsque un pc est branché par ethernet ou par wifi au réseau un certificat ou un mot de passe est demandé. Radius c'est génial en cas de VLAN car lorsqu'une personne est authentifié sur le réseau le service radius peut renvoyer un numéro de VLAN pour placer un utilisateur dans le VLAN approprié. Et comme ca sur le switch tu configure tous les ports concerné en 802.1X au lieu de paramétré les VLAN (tes switch le font). 1 serveur Radius suffit largement Enfin si ta des utilisateurs externe a ta société qui doivent accéder au réseau du doit mettre en place un service VPN basé sur IPsec. Enfin pour ton système 2000/2003, il accepte 50 connexion "distante" (bureau à distance par exemple) sur le système. T'aura jamais autant de client connecté simultanément. Voilà si tu as d'autre question hésite pas. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mrunknow Posté(e) le 4 mars 2009 Auteur Partager Posté(e) le 4 mars 2009 Bonjour Furius, Merci de ta réponse! En effet c'est un réseau d'entreprise.... Et oui je voulais faire du VLAN, avec une identification au niveau de la MAC adresse (niveau 2) pour la flexibilité, limiter le trafic réseau, et "cloisonner" les externes. Les externes ne sont pas des utilisateurs de mon domaine mais des consultants, auditeurs,... qui ne doivent pas avoir accès aux ressources mais uniquement à internet! Pour les VLAN, j'avais lu que les procurve avaient besoin d'un radius pour dispatcher les postes clients dans les différents VLAN (en utilisant la mac comme login/pwd) car ils n'avaient pas comme les CISCO's un VPMS qui pourrait le faire. Ce qui m'embêtait dans cette soluce ce sont les identifications via le radius, 50 clients max pour des serveurs windows Standards et comme j'ai plus ou moins 15 serveurs et 90 workstations ça pose probleme niveau licences... qu'entends tu par connections "distantes" alors ? ca ne rentre pas en compte dans ce cas ci ??? pourrais je utiliser un seul serveur radius pour tout ce nombre de machine? Je ne connais pas la technologie CBAC, tu peux m'en dire un peu plus? THX ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 4 mars 2009 Partager Posté(e) le 4 mars 2009 Salut, T'embête pas avec des VLAN de niveau 2, c'est terriblement lourd à mettre en place et c'est moche. Surtout ce système n'a rien de flexible. En ce qui concerne les VLAN je te conseille de: - Mettre un serveur radius fonctionnant avec EAP-PEAP/Ms-chapv2 - Afin que le serveur radius donne l'accès au utilisateur il demande un couple login/mot de passe - Associer Radius à l'AD - Que dans l'AD les login et mot de passe radius soit les même que l'authentification de windows - Tu synchronise l'ouverture de session windows avec l'authentification Radius (une case à coché dans le paramétrage réseau) - Mettre tous les ports des switch en 802.1X (sauf ceux des serveurs) - Configurer Radius pour qu'il renvoi un numéro de VLAN selon l'utilisateur Quand ta fait ça et que tout fonctionne les utilisateurs seront automatiquement mis dans le bon VLAN lors de l'authentification Radius et surtout lors de l'authentification Windows et de manière transparente pour l'utilisateur (en effet ils se sont authentifié deux fois mais l'utilisateur voit qu'il la fait qu'une seul fois). Donc le problème VLAN est réglé. En ce qui concerne les externes, je pense que tu parles de personnes se connectant au réseau depuis l'intérieur de la société. Si c'est ça, tout ce que j'ai dis au dessus s'applique. Simplement tu leur retourne un numéro de VLAN différent. Exemple: - tu crée un compte consultant générique comme consultant1 - tu met un mot de passe "ABC" - Numéro de vlan lié : 72 (72 représentant le numéro de vlan des consultants) Quand le consultant va "brancher son câble ethernet / se connecter en wifi", un couple login / mot de passe lui sera demandé. Donc il entrera consultant1 / ABC. Lorsque le serveur radius aura dit "Access-accepted" il va retourné aussi une trame avec le numéro de vlan 72 et donc le consultant appartiendra au vlan 72 En ce qui concerne les 50 clients max, ça veut dire que tu pourras avoir 50 clients maximum qui pourront s'authentifier en même temps. Au pire tu achète une CAL pour augmenter le nombres de connexion simultané. Les CBAC est une technologie Cisco (je connais pas le nom générique). Ce type d'ACL verifie ce que les autres ACL ont déja laissé passé. Les CBAC contrôle au niveau application sur le modèle OSI. De ce fait grâce à ca tu peux contrôler le nombre de session simultané provenant du même peer. S'il y'en a un trop grand nombre cela veut dire une seul chose: une personne tente une attaque de type DoS. Voilà en esperant t'avoir éclairé :) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mrunknow Posté(e) le 5 mars 2009 Auteur Partager Posté(e) le 5 mars 2009 C'est tout à fait ce que je voulais comme réponse! Un grand merci ! Il se pourrait que je revienne avec 1 ou 2 questions car c'est le début pour moi ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Serom Posté(e) le 5 mars 2009 Partager Posté(e) le 5 mars 2009 Si tu es pas loin de troyes je peux venir t'aider le mardi apres midi, le mercredi matin, le vendredi matin pour 20¤ de l'heure (net) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.