Demande avis: architecture réseau TPE (très petite entreprise)

crashburn1 · 17/12/2012, 20h15

Bonjour à tous,

voilà dans ma Très petite Entreprise, je mets en place un réseau à base de NAS.
L'idée n'est pas de créer le réseau parfait super sophistiqué, lourd à maintenir.

Pour moi, j'ai pensé à cette archi car, les pc ne sont pas sur les mêmes OS, (vista 32 bits, XP, Seven 64bits, ...), et c'est facile à installer.

Le synology est pas mal fait, et je vais essayer d'installer SVN.
Dites ce que vous en pensez, merci:

ah oui, vous constatez que je n'ai pas mis le NAS sur le sous-réseau internet. Ce n'est pas pratique pour les mise à jour certes, mais au moins c'est un premier niveau de sécurité pour protéger les données sans se prendre la tête, non?

JML19 · 17/12/2012, 21h10

Bonsoir

Tu utilises donc deux cartes réseaux une filaire pour le NAS et une Wifi pour la Livebox et Internet ?

Comment vas tu gérer ton réseau IP ?

Les PC en DHCP sur la Livebox et le NAS en IP fixe puisque tu n'as pas de liaison NAS sur la Livebox ?

kratoce · 18/12/2012, 09h42

Si possible je ferai plus simple :

Comme ça tu n'as qu'une carte réseau à utiliser et qu'une adresse ip en DHCP sur ta Livebox (c'est elle qui s'occupe de gérer les adresses ip).

Après, je ne connais pas ton architecture et tes besoins, mais je pense que ce serait quand même le plus simple.

IP_Steph · 18/12/2012, 09h49

Salut,

ce sera certainement plus sécurisé si tu crées une DMZ attachée à la LiveBox (ce qui est la pratique courante et personnellement, c'est ce que je recommanderais).

Comme écrivait JML, tu rajoutes de la complexité sur les PC utilisateurs... Deux accès réseau par PC, un statique, un dynamique, tout ça sous Windows

Et puis un NAS, c'est également très pratique lorsque les utilisateurs peuvent y accéder depuis n'importe où sur le Net!

Steph

kratoce · 18/12/2012, 10h10

Citation:

Envoyé par IP_Steph

Salut,

ce sera certainement plus sécurisé si tu crées une DMZ attachée à la LiveBox (ce qui est la pratique courante et personnellement, c'est ce que je recommanderais).

Comme écrivait JML, tu rajoutes de la complexité sur les PC utilisateurs... Deux accès réseau par PC, un statique, un dynamique, tout ça sous Windows

Et puis un NAS, c'est également très pratique lorsque les utilisateurs peuvent y accéder depuis n'importe où sur le Net!

Steph

+1
Mais crashburn1, sais-tu installer une DMZ ?

crashburn1 · 18/12/2012, 15h34

merci pour vos réponses.

Alors une DMZ, je n'en ai jamais mis en œuvre et ce que j'expliquais c'est que je ne veux pas que l'on accède au NAS depuis le net car données entreprises.

Le fait de faire 2 réseaux, je suis d'accord que ce n'est pas l'idéal mais je veux protéger efficacement et facilement le cœur des données entreprise.

Maintenant si vous m'expliquez simplement comment faire une DMZ facile et fiable, c'est sans doute le mieux, parce que pour les mises à jour du NAS et les téléchargements de paquet, ce sera plus pratique si le NAS peut accéder directement au web.

JML19 · 18/12/2012, 15h52

Bonjour

Tu vas sur la Livebox2 choix Configuration avancée partie Réseau Onglet DMZ tu mets tous les postes en DMZ sauf le NAS.

Avec la Livebox2 le NAS sera encore accessible sur le LAN mais pas depuis Internet, par contre les postes ne seront plus protégés par le Firewall.

crashburn1 · 18/12/2012, 16h00

C'est une livebox PRO, qui est aussi relié au central d'appel.

Nouveau synoptique:

qu'en pensez vous?

kratoce · 18/12/2012, 16h09

Citation:

Envoyé par JML19

Bonjour

Tu vas sur la Livebox2 choix Configuration avancée partie Réseau Onglet DMZ tu mets tous les postes en DMZ sauf le NAS.

Avec la Livebox2 le NAS sera encore accessible sur le LAN mais pas depuis Internet, par contre les postes ne seront plus protégés par le Firewall.

Il n'y a pas d’intérêt de mettre en DMZ si c'est les ordinateur de bureau ?

JML19 · 18/12/2012, 17h38

Perso je pense tu te compliques la vie pour rien, tu mets tout sur un Switch et basta, pour la protection tu installes un firewall.

crashburn1 · 18/12/2012, 18h37

voici les paramètres par défaut de mon parefeu livebox actuellement.

Est ce que les règles sont suffisantes pour protéger efficacement le réseau interne entreprise aux attaques hostiles du web sur le NAS et les autres PC?

Sinon, quelle règle rajouter?

je précise que le seul sous réseau utilisé actuellement est le 192.168.1.x
Aucun autre n'est utilisé à ma connaissance.
Aujourd'hui seul le wifi est utilisé pour accéder au web et y'a pas de NAS.
Je veux passer en filaire pour le NAS, et du coup sans doute aussi pour le web et dans ce cas je désactiverais le wifi.

JML19 · 18/12/2012, 19h15

C'est bien mais tu peux réserver dans le DHCP une IP fixe pour le NAS et la bloquer avec le firewall si tu veux protéger ton NAS d'Internet.

crashburn1 · 18/12/2012, 19h24

mais là si je comprends bien les règles toutes les ip 192.168.x.x sont protégés d'internet sur tous les ports.

si mon NAS est par ex en 192.168.1.10, il est inclus dans cette règle, le fait d'en rajouter une spécifique avec cette ip ne rajoutera pas de protection supplémentaire, à moins que qqch d'autre m'échappe.

D'ailleurs, si on autorise du traffic internet->LAN c'est par exemple faire du VPN ou du FTP depuis un poste distant, c'est ça.

Comme ce n'est pas mon besoin aujourd'hui, si je bloque tout je ne prends aucun risque, n'est ce pas.

Les firewall logiciel sont ils fiables? les hackers doivent bien trouver des parades non?

Même si nous ne sommes pas une société classée Secret défense, je préfère être assez bien protégé.

merci de toutes vos réponses en tout cas.

JML19 · 18/12/2012, 19h43

Citation:

Envoyé par crashburn1

mais là si je comprends bien les règles toutes les ip 192.168.x.x sont protégés d'internet sur tous les ports.

si mon NAS est par ex en 192.168.1.10, il est inclus dans cette règle, le fait d'en rajouter une spécifique avec cette ip ne rajoutera pas de protection supplémentaire, à moins que qqch d'autre m'échappe.

D'ailleurs, si on autorise du traffic internet->LAN c'est par exemple faire du VPN ou du FTP depuis un poste distant, c'est ça.

Comme ce n'est pas mon besoin aujourd'hui, si je bloque tout je ne prends aucun risque, n'est ce pas.

Les firewall logiciel sont ils fiables? les hackers doivent bien trouver des parades non?

Même si nous ne sommes pas une société classée Secret défense, je préfère être assez bien protégé.

merci de toutes vos réponses en tout cas.

Oui tu peux tout bloquer en entrée mais tu auras des problèmes avec tes postes qui utilisent Internet.

Un firewall s'il bloque une IP est efficace mais rien n'est imparable.

Si tu veux une protection supplémentaire tu intercales un routeur entre la Livebox et le Switch et tu fais du double NAT.

Le routeur sera branché avec son port WAN sur le port LAN de la Livebox, la sortie du routeur sera branchée sur le Switch et tous les équipements seront sur le Switch.

La livebox donnera une IP au routeur en DHCP et communiquera ses informations WAN à celui ci, le routeur fera son propre réseau en DHCP.

De plus tu peux aussi utiliser les firewall logiciel mais avec le routeur tu as un firewall matériel créé par celui ci.

La Livebox fait du NAT entre le WAN du FAI et son LAN, le routeur fait du NAT entre le LAN Livebox et le LAN qu'il créait lui même pour le Swich et tous les équipements derrière.

IP_Steph · 18/12/2012, 20h31

Je viens de découvrir que la livebox2 se tranformait automagiquement en ignoble passoire lorsqu'on définit une DMZ

Alors oublie la DMZ made in liveboxland

Il te reste donc les solutions suivantes :

1) Acheter un équipement capable de supporter des DMZ dignes de ce nom (ça n'est pas un gros investissement, même pour une très petite entreprise),

2) Déployer NAS + PC sur le même segment derrière la Livebox et faire les ajustements de sécurité. Si les ouvertures de flux sont bien faites, je ne vois pas de problème particulier.

Citation:

Si tu veux une protection supplémentaire tu intercales un routeur entre la Livebox et le Switch et tu fais du double NAT.

Le routeur sera branché avec son port WAN sur le port LAN de la Livebox, la sortie du routeur sera branchée sur le Switch et tous les équipements seront sur le Switch.

Le NAT n'est pas une techno de sécurité...

Steph

JML19 · 18/12/2012, 21h40

Citation:

Envoyé par IP_Steph

Le NAT n'est pas une techno de sécurité...

Steph

Bonsoir IP_Steph

Oui le NAT ne fait de sécurité, mais le routeur intercalé oui, on le considère souvent comme un firewall matériel.

TallyHo · 20/12/2012, 12h24

La question est surtout de savoir : est ce que ça vaut le coup de s'embêter sur un "petit réseau" comme celui-ci ? Je veux dire... Quels sont les risques de piratage de la TPE Plomberie Service par exemple ? Bien entendu, si tu es sur des activités sensibles, la question ne se pose pas. Mais dans d'autres cas, j'ai un doute...

Il y a des tas de TPE "classiques" qui fonctionnent sur le schéma Box -> Switch -> PC, Imp, etc... et qui s'en portent bien. Maintenant je ne connais pas trop la fiabilité du FW de la Livebox, en tout cas je n'ai jamais entendu quoi que ce soit de litigieux sur elle.

Au pire, comme il a été dit plus haut, tu intercales un routeur entre la box et le switch et voila

17/12/2012, 20h15	#1
crashburn1 Invité de passage Inscription : décembre 2012 Messages : 5 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : décembre 2012 Messages : 5 Points : 0 Points : 0	Demande avis: architecture réseau TPE (très petite entreprise) Bonjour à tous, voilà dans ma Très petite Entreprise, je mets en place un réseau à base de NAS. L'idée n'est pas de créer le réseau parfait super sophistiqué, lourd à maintenir. Pour moi, j'ai pensé à cette archi car, les pc ne sont pas sur les mêmes OS, (vista 32 bits, XP, Seven 64bits, ...), et c'est facile à installer. Le synology est pas mal fait, et je vais essayer d'installer SVN. Dites ce que vous en pensez, merci: ah oui, vous constatez que je n'ai pas mis le NAS sur le sous-réseau internet. Ce n'est pas pratique pour les mise à jour certes, mais au moins c'est un premier niveau de sécurité pour protéger les données sans se prendre la tête, non?
	00

18/12/2012, 09h49	#4
IP_Steph Modérateur Steph Architecte réseau Inscription : février 2012 Messages : 1 282 Détails du profil Informations personnelles : Nom : Steph Localisation : France Informations professionnelles : Activité : Architecte réseau Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : février 2012 Messages : 1 282 Points : 2 716 Points : 2 716	Salut, ce sera certainement plus sécurisé si tu crées une DMZ attachée à la LiveBox (ce qui est la pratique courante et personnellement, c'est ce que je recommanderais). Comme écrivait JML, tu rajoutes de la complexité sur les PC utilisateurs... Deux accès réseau par PC, un statique, un dynamique, tout ça sous Windows Et puis un NAS, c'est également très pratique lorsque les utilisateurs peuvent y accéder depuis n'importe où sur le Net! Steph __________________ "#define QUESTION ((bb) \|\| !(bb))" - Shakespeare
	10

17/12/2012, 21h10	#2
JML19 Expert Confirmé Sénior Jean Michel Retraité : Electrotechnicien Electronicien Informaticien de la SNCF Inscription : décembre 2010 Messages : 5 718 Détails du profil Informations personnelles : Nom : Jean Michel Localisation : France, Corrèze (Limousin) Informations professionnelles : Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF Secteur : Transports Informations forums : Inscription : décembre 2010 Messages : 5 718 Points : 9 301 Points : 9 301	Bonsoir Tu utilises donc deux cartes réseaux une filaire pour le NAS et une Wifi pour la Livebox et Internet ? Comment vas tu gérer ton réseau IP ? Les PC en DHCP sur la Livebox et le NAS en IP fixe puisque tu n'as pas de liaison NAS sur la Livebox ?
	00

18/12/2012, 15h34	#6
crashburn1 Invité de passage Inscription : décembre 2012 Messages : 5 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : décembre 2012 Messages : 5 Points : 0 Points : 0	merci pour vos réponses. Alors une DMZ, je n'en ai jamais mis en œuvre et ce que j'expliquais c'est que je ne veux pas que l'on accède au NAS depuis le net car données entreprises. Le fait de faire 2 réseaux, je suis d'accord que ce n'est pas l'idéal mais je veux protéger efficacement et facilement le cœur des données entreprise. Maintenant si vous m'expliquez simplement comment faire une DMZ facile et fiable, c'est sans doute le mieux, parce que pour les mises à jour du NAS et les téléchargements de paquet, ce sera plus pratique si le NAS peut accéder directement au web.
	00

18/12/2012, 15h52	#7
JML19 Expert Confirmé Sénior Jean Michel Retraité : Electrotechnicien Electronicien Informaticien de la SNCF Inscription : décembre 2010 Messages : 5 718 Détails du profil Informations personnelles : Nom : Jean Michel Localisation : France, Corrèze (Limousin) Informations professionnelles : Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF Secteur : Transports Informations forums : Inscription : décembre 2010 Messages : 5 718 Points : 9 301 Points : 9 301	Bonjour Tu vas sur la Livebox2 choix Configuration avancée partie Réseau Onglet DMZ tu mets tous les postes en DMZ sauf le NAS. Avec la Livebox2 le NAS sera encore accessible sur le LAN mais pas depuis Internet, par contre les postes ne seront plus protégés par le Firewall.
	00

18/12/2012, 16h00	#8
crashburn1 Invité de passage Inscription : décembre 2012 Messages : 5 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : décembre 2012 Messages : 5 Points : 0 Points : 0	C'est une livebox PRO, qui est aussi relié au central d'appel. Nouveau synoptique: qu'en pensez vous?
	00

18/12/2012, 17h38	#10
JML19 Expert Confirmé Sénior Jean Michel Retraité : Electrotechnicien Electronicien Informaticien de la SNCF Inscription : décembre 2010 Messages : 5 718 Détails du profil Informations personnelles : Nom : Jean Michel Localisation : France, Corrèze (Limousin) Informations professionnelles : Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF Secteur : Transports Informations forums : Inscription : décembre 2010 Messages : 5 718 Points : 9 301 Points : 9 301	Perso je pense tu te compliques la vie pour rien, tu mets tout sur un Switch et basta, pour la protection tu installes un firewall.
	00

18/12/2012, 18h37	#11
crashburn1 Invité de passage Inscription : décembre 2012 Messages : 5 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : décembre 2012 Messages : 5 Points : 0 Points : 0	voici les paramètres par défaut de mon parefeu livebox actuellement. Est ce que les règles sont suffisantes pour protéger efficacement le réseau interne entreprise aux attaques hostiles du web sur le NAS et les autres PC? Sinon, quelle règle rajouter? je précise que le seul sous réseau utilisé actuellement est le 192.168.1.x Aucun autre n'est utilisé à ma connaissance. Aujourd'hui seul le wifi est utilisé pour accéder au web et y'a pas de NAS. Je veux passer en filaire pour le NAS, et du coup sans doute aussi pour le web et dans ce cas je désactiverais le wifi.
	00

18/12/2012, 19h15	#12
JML19 Expert Confirmé Sénior Jean Michel Retraité : Electrotechnicien Electronicien Informaticien de la SNCF Inscription : décembre 2010 Messages : 5 718 Détails du profil Informations personnelles : Nom : Jean Michel Localisation : France, Corrèze (Limousin) Informations professionnelles : Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF Secteur : Transports Informations forums : Inscription : décembre 2010 Messages : 5 718 Points : 9 301 Points : 9 301	C'est bien mais tu peux réserver dans le DHCP une IP fixe pour le NAS et la bloquer avec le firewall si tu veux protéger ton NAS d'Internet.
	00

18/12/2012, 19h24	#13
crashburn1 Invité de passage Inscription : décembre 2012 Messages : 5 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : décembre 2012 Messages : 5 Points : 0 Points : 0	mais là si je comprends bien les règles toutes les ip 192.168.x.x sont protégés d'internet sur tous les ports. si mon NAS est par ex en 192.168.1.10, il est inclus dans cette règle, le fait d'en rajouter une spécifique avec cette ip ne rajoutera pas de protection supplémentaire, à moins que qqch d'autre m'échappe. D'ailleurs, si on autorise du traffic internet->LAN c'est par exemple faire du VPN ou du FTP depuis un poste distant, c'est ça. Comme ce n'est pas mon besoin aujourd'hui, si je bloque tout je ne prends aucun risque, n'est ce pas. Les firewall logiciel sont ils fiables? les hackers doivent bien trouver des parades non? Même si nous ne sommes pas une société classée Secret défense, je préfère être assez bien protégé. merci de toutes vos réponses en tout cas.
	00

20/12/2012, 12h24	#17
TallyHo Membre du Club Inscription : février 2006 Messages : 207 Détails du profil Informations forums : Inscription : février 2006 Messages : 207 Points : 62 Points : 62	La question est surtout de savoir : est ce que ça vaut le coup de s'embêter sur un "petit réseau" comme celui-ci ? Je veux dire... Quels sont les risques de piratage de la TPE Plomberie Service par exemple ? Bien entendu, si tu es sur des activités sensibles, la question ne se pose pas. Mais dans d'autres cas, j'ai un doute... Il y a des tas de TPE "classiques" qui fonctionnent sur le schéma Box -> Switch -> PC, Imp, etc... et qui s'en portent bien. Maintenant je ne connais pas trop la fiabilité du FW de la Livebox, en tout cas je n'ai jamais entendu quoi que ce soit de litigieux sur elle. Au pire, comme il a été dit plus haut, tu intercales un routeur entre la box et le switch et voila
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email