Bonjour,
 
Je souhaiterais savoir quel config adopter pour filtrer un réseau
 
c'est à dire pouvoir observer/filtrer chaque trame que n'importe quel poste lambda envois vers un autre poste interne ou vers internet.
 
est ce que l'utilisation de vlan privé est utile dans ce cas ou est ce autre chose ?
 
en vous remerciant.

difficile quand il y a des commutateurs.
Si tu met des hub partout tu peux observer le traffic sur tous tes postes.
Les vlan sont utiles si tu veux segmenter ton reseau.
Tu peux refondre ton plan d'adressage en mettant des PC client sur une plage et tes serveurs dans un autre (tout ça dans des VLAN).
tu met un UTM au coeur du reseau. Bien sur, si des pc essayent de communiquer avec d'autre Pc tu ne verrai rien.
 
 

A mon avis ce que tu devrais faire c'est, comme suggéré au-dessus, commencer par revoir ton plan d'adressage et la segmentation de tes utilisateurs par fonction/rôles dans des réseaux (vlans) dédiés puis placer un parefeu entre pour filtrer / monitorer les interactions.
 
Mais tu auras les limitations suivantes:
- Tu ne pourras pas filtrer les interactions entre utilisateurs dans un même réseau
- Si tu veux logger/filtrer finement les accès à internet tu devras faire passer tes utilisateurs par un proxy

merci pour vos réponse,
 
je pensais à 2 solution :
 
1) mettre tout les poste dans des pvlan et utiliser un routeur/firewall pour gerer les connexion entre chaque poste.
+filtrage total des le 1er paquet
+isolation native (pvlan)
+performance pas top
- routeur/firewall doit etre costaud
(mais je ne sais pas si ca fonctionne)
 
 
2) faire du port mirroring et utilisé le port mirroring pour établir du filtrage
+performance moins pénalisant
- pas d'isolation
- filtrage dépendant d'un ids, et reprogramation du switch en guise de firewall.
 
3 ) utilisation des vlan acl
c'est un mix des 2 premiere solution.
 
perso, je ne comprend pas avec les réseaux active directory pourquoi on continue a laissé au postes la possibilité de discuté en P2P.
 
alors qu'avec un bon ids central on pourrait tout filtrer

Je ne vois pas trop le rapport entre AD et le fait que les postes clients puissent converser entre eux.
 
Sinon, c'est quoi le but d'empêcher les postes clients de converser librement ?
 
Autant au niveau d'un WLAN grand public, je conçois l'intérêt de faire de l'isolation.
Autant dans un LAN, je ne vois pas l'intérêt. Si on trust pas un poste client, on le retire du LAN ou on l'isole sur un réseau à part. Mais à partir du moment où on le place dans le LAN, c'est pas pour le filtrer comme un si c'était un serveur pirate.

 dans un  réseaux client/serveur, si il ya une connection client client  c'est qu'il y a tentative de piratage.
 

 
l'interet du filtrage, c'est d'etre dynamique, si un poste est infecté ont peut l'isolé en le reroutant facilement sur  vlan specifique, en etant sur qu'aucun autre poste n'a pu etre atteint
car le parefeu/routeur/ids est garant de chaque connexion.
 
dans un reseau normal on peut intercepter des trame qui entre et qui sorte du wan (exemple avec squid), mais ont ne peut rien faire si le client et deja infecté et tente d'infecter les autre postes.

Houla j'ai du mal à suivre.
 
Dans un LAN, lorsque un poste tente une connexion sur un autre, ça peut être de multiples choses sauf une tentative malsaine d'intrusion.
Y'a même pas mal de fonctions natives de Windows par exemple qui passent leur temps à tenter de joindre le PC d'à coté pour proposer des services.
 
Ensuite, le principe d'isoler un PC infecté du reste du réseau, c'est le NAC.
Et ce n'est pas en rapport avec le fait de filtrer les connexions entre les membres du réseau.
 
Enfin, SQUID ne permet pas d'intercepter des trames. C'est un proxy. C'est le rôle du pare-feu de surveiller les trames.
Et dans le cas d'un PC qui ne répond pas ou plus aux exigences de sécurité, on en revient au NAC.

 
dans un domaine ad en general on en veut pas, il s'agit souvent de découverte réseau ou autre fonction multimedia totalement inutile.
 

 
le nac se base sur les info niveau du poste ou sur le réseau, à partir de paramètre commun (antivirus a jour, oui/non, niveau de secu de l'utilisateur connecté...),
 
je suis plus sur l'implementation a tout un réseau d'un ids/dpi style suricata ou autre.
 

squid en lui meme non, mais son utilisation va de paire avec de l'analyse de traffic, et ses blacklists sont assez populaire pour empêcher tout connexion a des site infectieux.

exmachina ta demande semble louable mais peu réalisable.
ou sinon tu active le firewall natif sur tous les postes en indiquant qu'ils peuvent dialoguer qu'avec une liste restreinte de serveur..
bonne chance.

Je t'avoue que je n'ai jamais vu quoique ce soit de similaire chez aucun client où j'ai fait des missions et pour la simple raison que c'est ingérable d'un point de vue administration de cloisonner tous les PCs entre eux par un parefeu physique.
 
Ce que j'ai vu par contre qui s'apparente à ce que tu cherches c'est de coupler GPO + NAC + parefeu
1) Via GPO tu gères la politique de tes postes de travail et tu peux par exemple empêcher qu'ils hébergent des services sur leur poste ou fassent du partage de fichier entre eux sans passer par des serveurs de fichiers. Tu peux aussi bloquer des ports spécifiques en agissant sur le parefeu du poste de travail.
2) Via NAC tu t'assures, via enrollement et génération d'un certificat sur le poste de travail, que le poste est bien un poste corporate et si ce n'est pas le cas ça l'isole dans un réseau séparé.
Idem tu peux coupler ça à des outils de sécurité sur les postes de travail type host checker qui vont vérifier si le poste est bien à jour niveau antivirus, que les politiques de sécurité sont bien appliquées, etc... Et s'il y a une anomalie ou un virus de détecté ça te le met en isolement en le déplaçant dans un autre réseau/vlan.
3) Via parefeu physique + proxy pour filtrer les interactions entre tes utilisateurs, tes applications, tes services d'infra et internet.