Bonjour,
 
Je fait appel à vous pour me conseiller sur les amélioration éventuels à réaliser sur le réseau actuel de mon entreprise.
 
Voici un schéma sommaire:

 
Les postes de travail sont au nombre de 14.
 
Je pense déjà qu'il y a un problème au niveau de la sécurité internet.    
 
Merci d'avance pour vos lumières  

quelle est la visibilité "publique" de la machine " server"
quelle politique de sécurité est installé sur ton modem ?
quelle politique de sécurité souhaite tu implémenter au sein de ton réseau d'entreprise?
 
de l'expression de tes besoin sécurité, tu en déduiras une architecture technique.
 
 
Bon déja, si ton "serveur" a une visibilité "publique", l'architecture est fausse. il faut implémenter la notion de DMZ.  En suite , tu dois mettre en place un composant "filtrant" permettant de gérer les flux qui circulent:
 
 - depuis tes postes de travail vers ton serveur
- depuis ton serveur vers tes postes de travail
- depuis tes postes vers internet
- depuis ton serveur vers internet
 et tous les flux rentrants.
 
ensuite, si les fonctions de tes postes de travails sont différentes, tu peux implémenter une segmentation réseau par le biaais de sous réseau différents et d'implémenter la notion de VLAN.
 
ensuite, si tuas une politique de sécurité qui implique une sécurisation des flux internet, des flux de mail ou décontamination antivirale; il te faudra une relais smtp + antirivus + antispam .
 
bref, tu peux aller très loin dans la sécurisation , mais tout dépends des presprictions de sécurité  et surtout de l'équilibre entre le confort des utilisateur, l'administration au quotidien des équipements, du niveau de sécurité....

ouahhh, beaucoup de question
 
Mon but est de sécurisé un minimum tout ca sans devoir passer son temps à administrer le tout.
 
Pour la visibilité publique de la machine serveur je ne sais pas du tout!    
 
Ce qui me gêne dans cette architecture actuel est que le le modem n'est qu'un simple modem tout bête sans firewall ni fonction routeur. Donc obligation d'installer un firewall logiciel sur chaque poste.
 
J'avais comme idée de remplacer le modem par un modem routeur firewall.
 
Ca ferait:
internet => modem => firewall => réseau internet

c'est une première étape oui, ton modem te permet d'avoir la connexion internet, mais l'élement clé (enfin le premier!) est bien un firewall , du moins un équipement qui , au vu de la dimension de ta boite serait un boitier UTM, tu aurais déja nombre de services en une boite ( ou deux si t uveux miser sur la continuité de service -> encore une exigence de sécurité).
 
Une sécurité périmètrique est un mal nécessaire , mais la sécurité de bout en bout, typiquement jusqu'au poste de travail est aussi dans l'ère du temps .. ( firewall local + AV local + GPO)

et utiliser un boitier regroupant les fonctions modem/firewall/routeur n'est pas conseillé?

oui ,
 
c'est souvent le cas pour les équipements SOHO : UTM en termes de services et modem/routeur/switch pour le résezu
 
comme par exemple un SGS : Symantec Gateway Security

en fait je voyais bien un boitier de ce type:  
 
http://www.netgear.fr/produits/pro [...] od=DGFV338
 
que je brancherais entre internet et le switch.

as tu besoin du wifi ?
 
as tu des échanges privilégiés avec des partenaires ( pour monter un tunnel vpn par exemple ) ?

pas besoin de wifi
 
tunnel vpn pour une connexion 3G d'ici quelques mois.

d'où l'analyse des expressions de besoin qui doit etre bien ficelé pour couvrir parfaitement tes exigences ( à court, moyen terme)

dejà ton schéma est Faux, puisque tu ne peux pas etre relier à internet sans routeur...  
Sinon tout tes postes locaux chercheraient à obtenir une ip publique...
 
Donc ton modem fait forcement routeur

 
 
Vu ton schéma c'est pas possible, y'a forcement lui ou ton serveur qui fait office de routeur.

Quand on est en entreprise on essaye de faire quelquechose de plus sécurisé...
Bon ton entreprise n'est pas très grosse, mais je partirais plus sur une base comme ca...
 

double rideau de firewall pour une boite avec 14 postes de travail ??

bah c'est un peu le but d'une dmz...
que les utilisateur n'est accès qu'au port 3128 de squid et au port 25 pour la messagerie

avec un firewall à trois interfaces et les règles qui vont bien, on le fait aussi

vu le reseau, je ne pense pas qu'il y ait de visibilité publique du serveur. La DMZ me semble donc superflue... quant à squid pourquoi pas mais encore une fois un proxy pour 14 postes bof quoi. S'il ne s'agit que de bloquer les ports, le FW intégré au routeur le fera tres bien. Inutile de compliquer les choses sans raisons.

vu son architecture,
 
un simple boitier UTM avec une port réseau réservé pour une DMZ publique suffirait

merci à vous,
 
c'est vrai que le fait que je puisse me connecter à internet avec ce seule modem m'avait un peu alerté mais vu que cela marchez j'avais pas cherché plus loin.
 
Mais j'ai fait des recherches sur internet et il s'avere que ce petit modem est une fonction routeur mais non administrable. Une fonction caché en quelque sorte.
 
J'ai un peu regardé du coté des UTM et j'en ai pas trouvé beaucoup sur Internet.    
 
Pouvez vous m'expliquer à quoi sert un(e) DMZ?
 
Merci

Salut,
 
Une DMZ sert à isoler les flux qui viennent d'un réseau considéré comme non sécurisé (en règle générale, internet) d'un réseau considéré sécurisé (en règle générale, ton LAN). Le but est donc de filtrer les paquets qui arrivent du réseau non sécurisé et qui sortent vers ce réseau.
 
C'est une définition assez grossière

 
 
Perso je ne me ferai pas chier hein, ton modem c'est un modem/routeur ça marche tu n'as rien besoin de plus

Oui tu as raison, et puis pas de sauvegarde, pas dé sécurité,  J'ai vu des boites couler car elles avaient perdue des donées suite à une attaque, ou un crash...

poru les UTM tu en as plein,  mais ce sont les "gros" qui déclinent pour le marché soho ..
 
regarde du coté NETASQ, ARKOON, checkpoint, juniper ,symantec..

Bonjour
 
Une petite question:
 
- le serveur dns de mes poste est 10.211.20.5, soit l'adresse IP du serveur dns! jusque la c'est normal
- le serveur dns a des redirecteurs wanadoo pour que les poste se connectent à internet
- mon modem routeur à l'adresse 10.211.20.253
donc pour que mes postes se connectent à internet je dois mettre la passerelle 10.211.20.253 sur mes postes ET sur mon serveur.
 
mais est ce que mon serveur encours un risque en ayant comme passerelle le modem. Je veux dire par la que mon serveur ne doit pas avoir acces a internet pour ne pas chopper des vers, virus ou autre.
 
Eclairez moi svp

Dans ta configuration actuelle le serveur a au moins besoin d'aller sur internet pour joindre les DNS de wanadoo de toute facon.

Il n'y a pas moyen d'empecher au serveur de se connecter a internet. Quel est la configuration type à ce niveau?

Y a tjrs moyen sur un parefeu d'autoriser le serveur a sortir uniquement sur le port udp 53 a destination des IP des DNS.
Si ta boite a les moyens moi je te conseillerai d'investir dans une appliance de sécurité d'un constructeur dont c'est la spécialité (voir les noms cités plus haut) adapté a une PME, un boitier dimensionné pour 10 /15 user fera surement l'affaire et c'est pas trés cher (compter 500 € ?).

pour l'instant c'est pas à l'ordre du jour  
 
mais ce que je veux "juste" c'est que mes postes de travail aient accès à internet sans que le serveur ne prennent des risques inutile à se connecter à internet.
 
J'ai bien pensé à mettre comme dns sur mes postes les dns de wanadoo mais il faut garder en dns principal le serveur dns.

un petit up

Bah la solution c'est comme dis plus haut mettre en place un firewall qui te permettra d'être plus tranquille.

on parle bien de materiel routeur/firewall ?
 
Avec ce type de matériel est-il necessaire/important/obligatoire que le serveur se connecte à internet?
 
Actuellement la configuration est comme ceci:
Passerelle client: 10.211.20.253
DNS principal client: 10.211.20.5 (serveur)
DNS secondaire client: 80.10.246.129 (dns de wanadoo) => sans celui ci impossible de se connecter à internet.
 

 
 
+ Zyxel

Rien à voir avec le réseau :
 
Au niveau système , pensez aux sauvegardes, un crash est si vite arrivé ( la catastrophe pour une boite ... ), je ne vois aucune redondance ...

pour les sauvegardes elle se font bien.
 
faut-il un firewall logiciel pour le serveur? si oui lequel

Ce serait réellement mieux que tu mettes un firewall à trois pattes comme signalé plus haut. Ca sera plus simple de centraliser toutes tes règles sur cet équipement et plus facile à gérer si tu étends ton réseau ...

c'est à dire un utm? il faut que je me tourne vers qui pour cela?
 
Je sais que je suis chiant mais j'hésite encore entre un utm (pour moi c'est tout nouveau) et un boitier "plus classique" routeur/firewall.
 
Merci à vous

N'importe quel intégrateur / prestataire réseau pourra te conseiller et te vendre un UTM. Un UTM c'est juste un firewall avec qqs fonctionnalités en plus (antivirus, VPN, filtrage url etc ...).

Bonjour à tous,
 
Je ressort ce dossier. Je dois faire l'acquisition d'une solution pour mettre en place du VPN et pour bien sur sécuriser mon réseau.  
 
Besoins:
-routeur
-firewall
-vpn
 
Comme vous me l'avez conseillé je regarde du coté des UTM et j'ai trouvé celui ci (il me semble que c'est un UTM): http://www.ldlc-pro.com/fiche/PB00026261.html (je ne sais pas s'il fait routeur)
ou avec modem
http://www.ldlc-pro.com/fiche/PB00026172.html
 
ou alors m'orienter plus vers un boitier "classique" comme celui ci:
http://www.ldlc-pro.com/fiche/PB00032863.html
ou
http://www.ldlc-pro.com/fiche/PB00018223.html
 
Merci beaucoup pour votre aide

ipcop / pfsense

 
Tu devrais jetter un oeil du côté de Sonicwall ici