Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1717 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Cette architecture est elle possible?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Cette architecture est elle possible?

n°72739
nz78
Posté le 16-10-2010 à 10:21:59  profilanswer
 

Bonjour a tous, :jap:  
 
 
voilà j'ai fait un réseau sur packet tracer pour vous le montrer, ne faites pas attention au points rouges
 
car le réseau n'est pas configuré. Je voudrais savoir si cette configuration est possible?
 
De plus je voudrais savoir, si je mets en place des vlan (3 vlan), je devrais les appliquer sur le switch 0?  
 
Ou serait la place du serveur web et de la zone dmz? :??:  
 
 
 
Merci d'avance a tous, ( ce n'est pas des questions technique, juste pour l'architecture  ;) )
 
 
nz
 
 
http://img269.imageshack.us/img269/7919/reseau.jpg
 
Uploaded with ImageShack.us

Message cité 2 fois
Message édité par nz78 le 16-10-2010 à 10:22:41
mood
Publicité
Posté le 16-10-2010 à 10:21:59  profilanswer
 

n°72746
CK Ze CaRi​BoO
Posté le 16-10-2010 à 19:19:01  profilanswer
 

Je vois pas de firewall sur ton schéma. C'est lui qui doit gérer les interfaces DMZ


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°72748
sneakz
Posté le 16-10-2010 à 20:07:57  profilanswer
 

nz78 a écrit :


De plus je voudrais savoir, si je mets en place des vlan (3 vlan), je devrais les appliquer sur le switch 0?


 
Tes vlans doivent être configurés sur tous les commutateurs (switch0, switch1, switch2 et switch3).
 
J'utiliserai 4 vlans. Le vlan pour l'administration des commutateurs et 2,3 et 4 pour tes zones/groupes de machines.
 
Sur les ports d'interconnexion entre les switchs (port trunk) : 1 untag, 2,3,4 tag
Sur les ports connectés aux machines de la zone 2 (20 postes) : 2 untag
Sur les ports connectés aux machines de la zone 3 (20 postes) : 3 untag
Sur les ports connectés aux machines de la zone 4 (10 postes) : 4 untag

Message cité 1 fois
Message édité par sneakz le 16-10-2010 à 20:09:21
n°72749
sneakz
Posté le 16-10-2010 à 20:14:12  profilanswer
 

nz78 a écrit :


Ou serait la place du serveur web et de la zone dmz? :??:


 
Il est préférable pour des questions de sécurité que ton serveur www soit derrière une interface physique à part entière et non derrière un vlan.
 
Comme le souligne CK Ze CaRiBoO, un fw placé derrière ton routeur avec 3 interfaces (wan, lan, dmz publique) est manquant. Tu places alors ta machine www derrière. C'est le fw qui gérera les règles de filtrage.  

n°72750
jujudu44
Prophète du CAC
Posté le 16-10-2010 à 21:42:37  profilanswer
 

sneakz a écrit :


 
Il est préférable pour des questions de sécurité que ton serveur www soit derrière une interface physique à part entière et non derrière un vlan.
 
 


Et pour quelles raisons...? Dans le fond il n'y en a pas bcp et on peut s'en protéger efficacement. Curieux de voir ta réponse :)


---------------
Jujudu44
n°72751
dreamer18
CDLM
Posté le 16-10-2010 à 21:51:22  profilanswer
 

ouais mais vlan hopping, cam overflow tout ça :D
 
tiens tant que je t'ai sous la main, est-ce qu'il y ad es offres IP VPN MPLS (L3) qui supportent le multicast ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°72753
sneakz
Posté le 17-10-2010 à 09:27:22  profilanswer
 

jujudu44, en faisant reposer ta dmz sur un vlan dédié, tu fragilises la sécurité de ton infrastructure.
 
http://www.cisco.com/en/US/product [...] ml#wp39009
 
Pour moi le bastion doit rester le fw ou des fw cascadés selon les besoins.
 
Tout ceci peut-être effectivement discuté et des arbitrages sont à effectuer selon la sensibilité des données dans ton SI.

n°72754
dreamer18
CDLM
Posté le 17-10-2010 à 09:45:50  profilanswer
 

Non mais on a déjà eu le débat dans un autre topic, mettre des DMZ sur des vlans c'est juste un truc standard (à part pour certains RSSI qui pigent rien en réseau "le cloisonnement en vlan j'ai pas confiance" - c'est du vécu).
 
Et puis lis quand même les liens que tu postes :D  
 
The security of VLAN technology has proven to be far more reliable than its detractors had hoped for and only user misconfiguration or improper use of features have been pointed out as ways to undermine its robustness.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°72755
trictrac
Posté le 17-10-2010 à 10:06:11  profilanswer
 

C'est le prob des RSSI: c'est qu'ils pigent rien au réseau, et restent campé sur des préceptent vieux de 10 ans:
les vlan, c'est mal, c'est pas secure.
le ping, c'est hyper dangereux, parce qu'après, les méchants hacker ils savent qu'il y a une machine
Utiliser lesports standards c'est mal, c'es beaucoup plus standard si tu changes tous les ports (beaucoup plus chiant à manager aussi, mais bon, c'est pas leur soucis). Je suis pour le changement du port de tous les serveurs web d'internet, le port 80, c'est pour les nuls (et je parle pas du port 22 pour ssh).
 
Derniere blague en date, un auditeur qui avait du lire un article récent sur Mitnick m'a sorti le spoofing d'IP source pour blooser le firewall et forcer une connexion ssh ...
 
je pense que ces discussions n'auront jamais de fin...

n°72756
sneakz
Posté le 17-10-2010 à 10:15:49  profilanswer
 

J'ai lu l'essentiel de l'article.
Justement, la fragilité du système de sécurité est lié à l'humain ou une défaillance matérielle (maintenant un carte Ethernet peut très bien lacher  :)  ). C'est corroboré pour l'aspect humain dans le passage que tu cites.
 
Je n'avance pas le fait qu'un réseau sur lequel repose des vlans n'est pas sécurisé.  Je n'ai pas écrit cela. Mon infrastructure par exemple repose sur des vlans pour des raisons de souplesse et de sécurité. Je dis tout simplement que pour des données sensibles situées en dmz publique et plus particulièrement pour une dmz privée, on accroit le risque. Tout est question de savoir où tu places ton curseur.  
Maintenant si tu es un RSSI qui pige tout au réseau, qui est au fait des nouvelles failles, qui supervise en tant réel le traffic du réseau et ton matériel actif et qui intervient en temps réel pour remplacer un commutateur parti en vrille, bien tu peux placer ta machine www n'importe où sur ton lan. Moi je n'ai pas la chance d'évoluer dans une telle structure.


Message édité par sneakz le 17-10-2010 à 13:19:24
mood
Publicité
Posté le 17-10-2010 à 10:15:49  profilanswer
 

n°72759
nz78
Posté le 17-10-2010 à 12:02:20  profilanswer
 

sneakz a écrit :


 
Tes vlans doivent être configurés sur tous les commutateurs (switch0, switch1, switch2 et switch3).
 
J'utiliserai 4 vlans. Le vlan pour l'administration des commutateurs et 2,3 et 4 pour tes zones/groupes de machines.


 
 
Je pensais qu'il suffisait de configurer les vlan sur le switch0, donc attribuer les port pour les lan 1, 2 et 3 sur le switch 0.
Puis utiliser les sw1, 2,3 comme des hub sans configurer de vlan.
 
 
 
 
 
 

n°72760
dreamer18
CDLM
Posté le 17-10-2010 à 12:07:06  profilanswer
 

techniquement ça fonctionnera mais tu perds toute la flexibilité des vlans qui servent justement à attacher des machines appartenant à différents vlans sur le même switch.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
n°72761
nz78
Posté le 17-10-2010 à 12:17:09  profilanswer
 

dreamer18 a écrit :

techniquement ça fonctionnera mais tu perds toute la flexibilité des vlans qui servent justement à attacher des machines appartenant à différents vlans sur le même switch.


 
 
dans l'architecture le sw0 sera un switch d'accès et les 3 autre pour la distribution.  
 
les sw1, 2, 3 seront dans des bureaux différents
 
 

sneakz a écrit :


 
Il est préférable pour des questions de sécurité que ton serveur www soit derrière une interface physique à part entière et non derrière un vlan.
 
Comme le souligne CK Ze CaRiBoO, un fw placé derrière ton routeur avec 3 interfaces (wan, lan, dmz publique) est manquant. Tu places alors ta machine www derrière. C'est le fw qui gérera les règles de filtrage.  


 
 
Pour le serveur, je vais prendre un serveur dell avec un windows server 2008 r2 dessus  
je choisis une solution toute en un, (vu le nombre de clients) c'est a dire le serveur fera : firewall, dns, dhcp, http, serveur de fichier.
 
 
j'installe le serveur sur le sw0 ?
Pour le firewall, j'ai entendu dire qu'il y a des routeur Cisco, qui possèdent un module firewall, c'est vrai?

Message cité 1 fois
Message édité par nz78 le 17-10-2010 à 12:49:22
n°72764
CK Ze CaRi​BoO
Posté le 17-10-2010 à 13:49:21  profilanswer
 

Si c'est le serveur ton firewall (c'est pas vraiment ça l'état de l'art, hein) !), c'est aussi ton routeur... tes switchs 1,2,3 ne doivent donc pas être attachés au switch0 mais à des interfaces du firewall


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°72766
nz78
Posté le 17-10-2010 à 13:53:35  profilanswer
 

CK Ze CaRiBoO a écrit :

Si c'est le serveur ton firewall (c'est pas vraiment ça l'état de l'art, hein) !), c'est aussi ton routeur... tes switchs 1,2,3 ne doivent donc pas être attachés au switch0 mais à des interfaces du firewall


Donc je vais oublier l'idée de mettre le firewall sur le server

n°72781
jujudu44
Prophète du CAC
Posté le 18-10-2010 à 09:42:57  profilanswer
 

dreamer18 a écrit :

ouais mais vlan hopping, cam overflow tout ça :D
 
tiens tant que je t'ai sous la main, est-ce qu'il y ad es offres IP VPN MPLS (L3) qui supportent le multicast ?


Oui cela existe en OSM. Faut bien faire gaffe car le L2 et L3 sont bien distingués. OBS peut proposer les 2 alors que SFR le L3 c'est pas gagné (sur l'appel d'offre que j'ai sous les yeux en tout cas).


---------------
Jujudu44
n°73146
beastyboy
Posté le 28-10-2010 à 15:50:52  profilanswer
 


 

nz78 a écrit :


Pour le firewall, j'ai entendu dire qu'il y a des routeur Cisco, qui possèdent un module firewall, c'est vrai?


tu as regarde du cote de ca http://france.checkpoint.com/uploa [...] ce_500.pdf
 
ca fait routeur/ ap/vpn/vlan/qos


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Cette architecture est elle possible?

 

Sujets relatifs
Sharepoint, Architecture multi-serveurs : Répartition des chargesWin2008 Std en 2 instances virtuelles sur Hyper-V Server, possible ?
FREENAS : backup automatique depuis FTP distant : possible ?Planning partagé en ligne gratuit avec synchro possible
Architecture VPNArchitecture HPC
Mise en place d'une architecture de sauvegardeArchitecture reseau pour TPE (Win 2003 Server)
[Linux Virtual Server] Architecture possible 
Plus de sujets relatifs à : Cette architecture est elle possible?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR