Aller au contenu

Securité réseaux sous Windows!


Messages recommandés

bjr à tous, je suis nouveau dans le site et je suis un jeune informaticien en réseaux et j´aimerai obtenir de l´aide de votre part.

Voila j´ai la tache d´implémenter un nouveaux réseaux en province, dans un batiment de 4 etages et comportant 40 machines.Donc le Dg m´a demandé de lui présenter un plan et un devis pour la nouvelle implémentation.

Alors, comme je vous l´ai dit je suis un jeune informaticien, je travaille dans la société comme It, mais pas comme Administrateur réseaux, alors, j´ai durant ma formation fait un peu du Cisco jusk´au CCNA-2, et je m´y connais en gérence avec Active Directory sous win serv 2003 Ese.

Donc, je vous prie d´etre un peu indulgent à mon égar car certains détailles m´échappent encore.

Ainsi ,voici un peu un appercu de mon idée :

en utilisant une topologie en Etoile:

1ere Etape: Nous avonc payé chez notre FAI une connexion de type Adsl avec une BD de 128kbit/s.

nous disposons deja d´un modem type 42st sevices interface Unit et d´un wrt54gs qui ici va nous servir de routeur entre le modem et la connexion LAN.

2ieme Etape : je propose d´implémenter un serveur sous win 2003, comme je maitrise mieux ce systeme et lui attribué les droits d´administrateur, ainsi, je crée un Domaine Central, et une plage DHCP, 192.168.1xxx, de manière à crée un Lan basé sur une meme plage,et un meme domaine, afin de facilité la gestion, les partages....ect

Je dote mon serveur de 2 cartes réseaux, afin que celui-ce me serve d´unité de controle entre le réseaux sortant( lan) et entrant (internet).Donc, mon serveur doit etre configurer comme passerelle pour les clients ou hotes, afin de les géré et les protégé.DOnc ici ,je vais donc à l´aide de la deuxième carte,( je propose une carte 10/100Mbits), et d´un cable ethernet 10baseT, je vais le relier à un switch type cisco 2960 ou 1 2950-24. Celui-ci sera relier par des cable rj-45 pour aboutir dans des prises commutées, afin que chaques utilisateurs utilisent sa propre prise un peu comme dans les cybercafés.A ce niveau, je m´en sort encore

.PS : si a ce niveau , vous trouvez que tout est correcte, nous pouvons passé à l´etape 3.

3ième Etape : c´est ici , ou j´ai un peu des difficultés et je veux travaillé dessu. Comment puis-je élaboré une stratégie de protéction valable?.Puis-k´avec 2003, je peut implémenter un PARe-feu,pour me servir de flitre, mais beaucoup m´ont conseillé d´utilisé un proxy , pour gérer aussi les clients avec IPCOP, qui peut etre implémenté et aussi comme Une DMZ

Le problème c´est que ipcop travaille avc LINUX et je ne maitrise pás ce systeme

1Question : Esk serv2003, peut travailler comme un Proxy(WINGATE)?l et etre utilisé comme une DMZ

2Question ESt-il possible d´optimisé une sécurité tout en utilisant que Microsoft Windows, SI oui kelle proposition me faite-vous?

3Question : Avec kel logiciel puis-je travaillé pour un execellent paref-feu et un programme de surveillance réseaux

Merci d´avance pour vos réponses et pardonner moi de la longueur du texte.

Je voulez aussi joindre à cette discussion des schemas en JPG mais je ne sais pas comment joindre un fichier ici dans le site.......

Lien vers le commentaire
Partager sur d’autres sites

2ieme Etape : je propose d´implémenter un serveur sous win 2003, comme je maitrise mieux ce systeme et lui attribué les droits d´administrateur, ainsi, je crée un Domaine Central, et une plage DHCP, 192.168.1xxx, de manière à crée un Lan basé sur une meme plage,et un meme domaine, afin de facilité la gestion, les partages....ect

Je dote mon serveur de 2 cartes réseaux, afin que celui-ce me serve d´unité de controle entre le réseaux sortant( lan) et entrant (internet).Donc, mon serveur doit etre configurer comme passerelle pour les clients ou hotes, afin de les géré et les protégé.DOnc ici ,je vais donc à l´aide de la deuxième carte,( je propose une carte 10/100Mbits), et d´un cable ethernet 10baseT, je vais le relier à un switch type cisco 2960 ou 1 2950-24. Celui-ci sera relier par des cable rj-45 pour aboutir dans des prises commutées, afin que chaques utilisateurs utilisent sa propre prise un peu comme dans les cybercafés.A ce niveau, je m´en sort encore

.PS : si a ce niveau , vous trouvez que tout est correcte, nous pouvons passé à l´etape 3.

Quelques questions :

- Est ce que des applications ont besoin d'accéder ver internet ou d'internet vers le réseau interne ?

- Ton serveur servira-t-il aussi de serveur de fichiers ?

- Pourquoi utilisé du 10Mbit pour une connexion entre ton serveur et ton routeur ??? Du 100Mbit c'est vraiment le strict minimum aujourd'hui en terme d'évolutivité future de l'entreprises...

3ième Etape : c´est ici , ou j´ai un peu des difficultés et je veux travaillé dessu. Comment puis-je élaboré une stratégie de protéction valable?.Puis-k´avec 2003, je peut implémenter un PARe-feu,pour me servir de flitre, mais beaucoup m´ont conseillé d´utilisé un proxy , pour gérer aussi les clients avec IPCOP, qui peut etre implémenté et aussi comme Une DMZ

Le problème c´est que ipcop travaille avc LINUX et je ne maitrise pás ce systeme

1Question : Esk serv2003, peut travailler comme un Proxy(WINGATE)?l et etre utilisé comme une DMZ

2Question ESt-il possible d´optimisé une sécurité tout en utilisant que Microsoft Windows, SI oui kelle proposition me faite-vous?

3Question : Avec kel logiciel puis-je travaillé pour un execellent paref-feu et un programme de surveillance réseaux

En serveur proxy je ne m'y connait pas trop mais tu peux utiliser Squid(logiciel libre) qui est compatible avec Windows.

Ou sinon installe Ipcop qui fait pare feux et proxy sur un PC dont l'entreprise ne se sert plus(IPcop ne demande pas grand chose comme config je pense), avec une distrib Linux. Qu'apelle tu programme de surveillance réseaux ? C'est de la supervision dont tu veux parler ou juste le log de ce que font les ulisateurs sur Internet ?

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

"un wrt54gs", moi ca me choque ca

un routeur grand public pour du pro !

Pas configurable, peu manageable....

tu veux faire passer le traffic internet par ton serveur qui sert de PDC ?

le voilà ton trou de sécu !!!

C'est carrement de l'incompétance à ce niveau

Firewall ...un cisco pix mais ca risque d'être violent pour toi

surveillance réseau , Nagios

Lien vers le commentaire
Partager sur d’autres sites

Salut,

Pour une petite architecture comme la tienne c'est pas compliqué. Voilà ce qu'il faut mettre en partant d'internet jusqu'à ton réseau local:

internet -> un parefeu (comme dit typhoon pas de truc à la con grand public). Tu prends du cisco pix ou ASA (je prefere ASA après c'est goût personnel). Si tu veux pousser la securité tu peux te rabattre sur du parefeu checkpoint.

Sur ce parefeu tu auras 3 interfaces: une allant sur internet, une allant sur ton LAN et une sur la DMZ. En ce qui concerne la DMZ tu mettras tous les serveurs qui ont besoin d'etre accessible depuis de l'exterieur. Exemple: DNS, Proxy, Radius, serveur WEB ...

Après le parefeu au choix: soit tu mets tout ce qui concerne le niveau 2, soit tu mets un autre routeur. Pourquoi j'aime mettre un routeur derrière un parefeu alors qu'un parefeu peut accomplir la tache de routage aussi ? Tout simplement parce que je trouve cela plus propre d'attribuer les tâches de sécurité dans le pare-feu, et les taches de routage dans le routeur. Après c'est toi qui voit. Cela dépends de ta prochaine infrastructure. Je pense qu'un parefeu suffira.

Après il suffit de mettre tes switch et compagnie avec les utilisateurs dessus. Enfin je te conseille de faire des VLAN pour isoler les serveurs et les utilisateurs dans un premier temps. Si tu fais ca je te conseille de mettre un serveur Radius et faire du 802.1X pour les utilisateurs (tu t'emmerde pas a faire du VLAN par port comme ca et à chercher la bonne prise sur le bon switch). Pour les serveurs cependant tu les mets en VLAN de niveau 1. Comme ça les utilisateurs et les serveurs devront passer par le routeur pour communiquer entre eux. Pratique pour faire des ACL ^^ et du filtrage.

Enfin niveau OS tu me parles de sécurité réseau sous windows. Je ne peux m'empecher de penser que sécurité et windows ne vont pas ensemble (avis personnel !!!). Mais vu que tu connais que windows on va faire avec. Donc niveau système tu mets un windows 2k3 voir 2K7. Ensuite un bon AD et un DHCP sur le serveur. Ajoute aussi le radius qui lui se connectera à l'AD pour pas que les utilisateurs est 36 identifiants. Pareille pour la messagerie MS Exchange. Plus les utilisateurs ont de Mot de passe plus ils les ecriront sous leur clavier (et niveau sécu c'est 0). Alors autant qu'il en ait le minimum.

Enfin pour superviser moi je mettrai du nagios avec du centreon(un petit serveur linux ^^). Tu as des doc très bien faites pour déployer ce type de plateforme facilement: Tuto pour une Debian. Install une debian et suit le Tuto

Voilà en espérant que tu es compris.

PS: désolé en avance pour les fautes d'orthographes, j'ai rédigé ça pendant ma pause.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...