Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 17 sur 17
  1. #1
    Invité de passage
    Homme Profil pro
    Inscrit en
    décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : décembre 2012
    Messages : 5
    Points : 0
    Points
    0

    Par défaut Demande avis: architecture réseau TPE (très petite entreprise)

    Bonjour à tous,

    voilà dans ma Très petite Entreprise, je mets en place un réseau à base de NAS.
    L'idée n'est pas de créer le réseau parfait super sophistiqué, lourd à maintenir.

    Pour moi, j'ai pensé à cette archi car, les pc ne sont pas sur les mêmes OS, (vista 32 bits, XP, Seven 64bits, ...), et c'est facile à installer.

    Le synology est pas mal fait, et je vais essayer d'installer SVN.
    Dites ce que vous en pensez, merci:


    ah oui, vous constatez que je n'ai pas mis le NAS sur le sous-réseau internet. Ce n'est pas pratique pour les mise à jour certes, mais au moins c'est un premier niveau de sécurité pour protéger les données sans se prendre la tête, non?

  2. #2
    Expert Confirmé Sénior Avatar de JML19
    Homme Profil pro Jean Michel
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    décembre 2010
    Messages
    7 173
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean Michel
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2010
    Messages : 7 173
    Points : 10 656
    Points
    10 656

    Par défaut

    Bonsoir

    Tu utilises donc deux cartes réseaux une filaire pour le NAS et une Wifi pour la Livebox et Internet ?

    Comment vas tu gérer ton réseau IP ?

    Les PC en DHCP sur la Livebox et le NAS en IP fixe puisque tu n'as pas de liaison NAS sur la Livebox ?

  3. #3
    Membre habitué Avatar de kratoce
    Homme Profil pro
    LP Informatique Répartie et Mobile
    Inscrit en
    octobre 2012
    Messages
    198
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : LP Informatique Répartie et Mobile

    Informations forums :
    Inscription : octobre 2012
    Messages : 198
    Points : 144
    Points
    144

    Par défaut

    Si possible je ferai plus simple :



    Comme ça tu n'as qu'une carte réseau à utiliser et qu'une adresse ip en DHCP sur ta Livebox (c'est elle qui s'occupe de gérer les adresses ip).

    Après, je ne connais pas ton architecture et tes besoins, mais je pense que ce serait quand même le plus simple.
    Images attachées Images attachées
    Ne mangez plus de thon, il est en voie de disparition! Mangez plutôt du con, il est en voie de surpopulation!!!!

  4. #4
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    Salut,

    ce sera certainement plus sécurisé si tu crées une DMZ attachée à la LiveBox (ce qui est la pratique courante et personnellement, c'est ce que je recommanderais).

    Comme écrivait JML, tu rajoutes de la complexité sur les PC utilisateurs... Deux accès réseau par PC, un statique, un dynamique, tout ça sous Windows

    Et puis un NAS, c'est également très pratique lorsque les utilisateurs peuvent y accéder depuis n'importe où sur le Net!

    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  5. #5
    Membre habitué Avatar de kratoce
    Homme Profil pro
    LP Informatique Répartie et Mobile
    Inscrit en
    octobre 2012
    Messages
    198
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : LP Informatique Répartie et Mobile

    Informations forums :
    Inscription : octobre 2012
    Messages : 198
    Points : 144
    Points
    144

    Par défaut

    Citation Envoyé par IP_Steph Voir le message
    Salut,

    ce sera certainement plus sécurisé si tu crées une DMZ attachée à la LiveBox (ce qui est la pratique courante et personnellement, c'est ce que je recommanderais).

    Comme écrivait JML, tu rajoutes de la complexité sur les PC utilisateurs... Deux accès réseau par PC, un statique, un dynamique, tout ça sous Windows

    Et puis un NAS, c'est également très pratique lorsque les utilisateurs peuvent y accéder depuis n'importe où sur le Net!

    Steph
    +1
    Mais crashburn1, sais-tu installer une DMZ ?
    Ne mangez plus de thon, il est en voie de disparition! Mangez plutôt du con, il est en voie de surpopulation!!!!

  6. #6
    Invité de passage
    Homme Profil pro
    Inscrit en
    décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : décembre 2012
    Messages : 5
    Points : 0
    Points
    0

    Par défaut

    merci pour vos réponses.

    Alors une DMZ, je n'en ai jamais mis en œuvre et ce que j'expliquais c'est que je ne veux pas que l'on accède au NAS depuis le net car données entreprises.

    Le fait de faire 2 réseaux, je suis d'accord que ce n'est pas l'idéal mais je veux protéger efficacement et facilement le cœur des données entreprise.

    Maintenant si vous m'expliquez simplement comment faire une DMZ facile et fiable, c'est sans doute le mieux, parce que pour les mises à jour du NAS et les téléchargements de paquet, ce sera plus pratique si le NAS peut accéder directement au web.

  7. #7
    Expert Confirmé Sénior Avatar de JML19
    Homme Profil pro Jean Michel
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    décembre 2010
    Messages
    7 173
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean Michel
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2010
    Messages : 7 173
    Points : 10 656
    Points
    10 656

    Par défaut

    Bonjour

    Tu vas sur la Livebox2 choix Configuration avancée partie Réseau Onglet DMZ tu mets tous les postes en DMZ sauf le NAS.

    Avec la Livebox2 le NAS sera encore accessible sur le LAN mais pas depuis Internet, par contre les postes ne seront plus protégés par le Firewall.

  8. #8
    Invité de passage
    Homme Profil pro
    Inscrit en
    décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : décembre 2012
    Messages : 5
    Points : 0
    Points
    0

    Par défaut

    C'est une livebox PRO, qui est aussi relié au central d'appel.

    Nouveau synoptique:


    qu'en pensez vous?

  9. #9
    Membre habitué Avatar de kratoce
    Homme Profil pro
    LP Informatique Répartie et Mobile
    Inscrit en
    octobre 2012
    Messages
    198
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : LP Informatique Répartie et Mobile

    Informations forums :
    Inscription : octobre 2012
    Messages : 198
    Points : 144
    Points
    144

    Par défaut

    Citation Envoyé par JML19 Voir le message
    Bonjour

    Tu vas sur la Livebox2 choix Configuration avancée partie Réseau Onglet DMZ tu mets tous les postes en DMZ sauf le NAS.

    Avec la Livebox2 le NAS sera encore accessible sur le LAN mais pas depuis Internet, par contre les postes ne seront plus protégés par le Firewall.
    Il n'y a pas d’intérêt de mettre en DMZ si c'est les ordinateur de bureau ?
    Ne mangez plus de thon, il est en voie de disparition! Mangez plutôt du con, il est en voie de surpopulation!!!!

  10. #10
    Expert Confirmé Sénior Avatar de JML19
    Homme Profil pro Jean Michel
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    décembre 2010
    Messages
    7 173
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean Michel
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2010
    Messages : 7 173
    Points : 10 656
    Points
    10 656

    Par défaut

    Perso je pense tu te compliques la vie pour rien, tu mets tout sur un Switch et basta, pour la protection tu installes un firewall.

  11. #11
    Invité de passage
    Homme Profil pro
    Inscrit en
    décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : décembre 2012
    Messages : 5
    Points : 0
    Points
    0

    Par défaut

    voici les paramètres par défaut de mon parefeu livebox actuellement.

    Est ce que les règles sont suffisantes pour protéger efficacement le réseau interne entreprise aux attaques hostiles du web sur le NAS et les autres PC?

    Sinon, quelle règle rajouter?



    je précise que le seul sous réseau utilisé actuellement est le 192.168.1.x
    Aucun autre n'est utilisé à ma connaissance.
    Aujourd'hui seul le wifi est utilisé pour accéder au web et y'a pas de NAS.
    Je veux passer en filaire pour le NAS, et du coup sans doute aussi pour le web et dans ce cas je désactiverais le wifi.

  12. #12
    Expert Confirmé Sénior Avatar de JML19
    Homme Profil pro Jean Michel
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    décembre 2010
    Messages
    7 173
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean Michel
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2010
    Messages : 7 173
    Points : 10 656
    Points
    10 656

    Par défaut

    C'est bien mais tu peux réserver dans le DHCP une IP fixe pour le NAS et la bloquer avec le firewall si tu veux protéger ton NAS d'Internet.

  13. #13
    Invité de passage
    Homme Profil pro
    Inscrit en
    décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : décembre 2012
    Messages : 5
    Points : 0
    Points
    0

    Par défaut

    mais là si je comprends bien les règles toutes les ip 192.168.x.x sont protégés d'internet sur tous les ports.

    si mon NAS est par ex en 192.168.1.10, il est inclus dans cette règle, le fait d'en rajouter une spécifique avec cette ip ne rajoutera pas de protection supplémentaire, à moins que qqch d'autre m'échappe.

    D'ailleurs, si on autorise du traffic internet->LAN c'est par exemple faire du VPN ou du FTP depuis un poste distant, c'est ça.

    Comme ce n'est pas mon besoin aujourd'hui, si je bloque tout je ne prends aucun risque, n'est ce pas.

    Les firewall logiciel sont ils fiables? les hackers doivent bien trouver des parades non?

    Même si nous ne sommes pas une société classée Secret défense, je préfère être assez bien protégé.

    merci de toutes vos réponses en tout cas.

  14. #14
    Expert Confirmé Sénior Avatar de JML19
    Homme Profil pro Jean Michel
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    décembre 2010
    Messages
    7 173
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean Michel
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2010
    Messages : 7 173
    Points : 10 656
    Points
    10 656

    Par défaut

    Citation Envoyé par crashburn1 Voir le message
    mais là si je comprends bien les règles toutes les ip 192.168.x.x sont protégés d'internet sur tous les ports.

    si mon NAS est par ex en 192.168.1.10, il est inclus dans cette règle, le fait d'en rajouter une spécifique avec cette ip ne rajoutera pas de protection supplémentaire, à moins que qqch d'autre m'échappe.

    D'ailleurs, si on autorise du traffic internet->LAN c'est par exemple faire du VPN ou du FTP depuis un poste distant, c'est ça.

    Comme ce n'est pas mon besoin aujourd'hui, si je bloque tout je ne prends aucun risque, n'est ce pas.

    Les firewall logiciel sont ils fiables? les hackers doivent bien trouver des parades non?

    Même si nous ne sommes pas une société classée Secret défense, je préfère être assez bien protégé.

    merci de toutes vos réponses en tout cas.
    Oui tu peux tout bloquer en entrée mais tu auras des problèmes avec tes postes qui utilisent Internet.

    Un firewall s'il bloque une IP est efficace mais rien n'est imparable.

    Si tu veux une protection supplémentaire tu intercales un routeur entre la Livebox et le Switch et tu fais du double NAT.

    Le routeur sera branché avec son port WAN sur le port LAN de la Livebox, la sortie du routeur sera branchée sur le Switch et tous les équipements seront sur le Switch.

    La livebox donnera une IP au routeur en DHCP et communiquera ses informations WAN à celui ci, le routeur fera son propre réseau en DHCP.

    De plus tu peux aussi utiliser les firewall logiciel mais avec le routeur tu as un firewall matériel créé par celui ci.

    La Livebox fait du NAT entre le WAN du FAI et son LAN, le routeur fait du NAT entre le LAN Livebox et le LAN qu'il créait lui même pour le Swich et tous les équipements derrière.

  15. #15
    Modérateur
    Avatar de IP_Steph
    Homme Profil pro Steph
    Architecte réseau
    Inscrit en
    février 2012
    Messages
    1 854
    Détails du profil
    Informations personnelles :
    Nom : Homme Steph
    Localisation : France

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : février 2012
    Messages : 1 854
    Points : 3 738
    Points
    3 738

    Par défaut

    Je viens de découvrir que la livebox2 se tranformait automagiquement en ignoble passoire lorsqu'on définit une DMZ

    Alors oublie la DMZ made in liveboxland

    Il te reste donc les solutions suivantes :

    1) Acheter un équipement capable de supporter des DMZ dignes de ce nom (ça n'est pas un gros investissement, même pour une très petite entreprise),

    2) Déployer NAS + PC sur le même segment derrière la Livebox et faire les ajustements de sécurité. Si les ouvertures de flux sont bien faites, je ne vois pas de problème particulier.

    Si tu veux une protection supplémentaire tu intercales un routeur entre la Livebox et le Switch et tu fais du double NAT.

    Le routeur sera branché avec son port WAN sur le port LAN de la Livebox, la sortie du routeur sera branchée sur le Switch et tous les équipements seront sur le Switch.
    Le NAT n'est pas une techno de sécurité...

    Steph
    ʇɥıs uǝʍ uʌıpıɐ pɹıʌǝɹ snɔʞs :-)

  16. #16
    Expert Confirmé Sénior Avatar de JML19
    Homme Profil pro Jean Michel
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    décembre 2010
    Messages
    7 173
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean Michel
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2010
    Messages : 7 173
    Points : 10 656
    Points
    10 656

    Par défaut

    Citation Envoyé par IP_Steph Voir le message
    Le NAT n'est pas une techno de sécurité...

    Steph
    Bonsoir IP_Steph

    Oui le NAT ne fait de sécurité, mais le routeur intercalé oui, on le considère souvent comme un firewall matériel.

  17. #17
    Membre du Club
    Inscrit en
    février 2006
    Messages
    211
    Détails du profil
    Informations forums :
    Inscription : février 2006
    Messages : 211
    Points : 62
    Points
    62

    Par défaut

    La question est surtout de savoir : est ce que ça vaut le coup de s'embêter sur un "petit réseau" comme celui-ci ? Je veux dire... Quels sont les risques de piratage de la TPE Plomberie Service par exemple ? Bien entendu, si tu es sur des activités sensibles, la question ne se pose pas. Mais dans d'autres cas, j'ai un doute...

    Il y a des tas de TPE "classiques" qui fonctionnent sur le schéma Box -> Switch -> PC, Imp, etc... et qui s'en portent bien. Maintenant je ne connais pas trop la fiabilité du FW de la Livebox, en tout cas je n'ai jamais entendu quoi que ce soit de litigieux sur elle.

    Au pire, comme il a été dit plus haut, tu intercales un routeur entre la box et le switch et voila

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •