Discussion :

[boboss123]

Bonjour,

Je dois créer trois réseaux locaux fermés (pas d'accès vers l'extérieur) qui ne doivent pas communiquer ensembles.
Dans chaque réseaux, il doit y avoir des équipements qui doivent être configurés/supervisés depuis un serveur. Ce serveur intègre un serveur Web public qui doit permettre de récupérer les infos de supervision depuis l’extérieur.
Il faut aussi que je puisse depuis l'extérieur, accéder à tous les équipements de tous les réseaux avec un canal sécurisé.

Voici sur quoi je pensais partir :


Le noeud 1 serait un firewall classique avec deux WAN
Le noeud 2 serait une passerelle logiciel (linux) faite par le PC "serveur"
ça vous semble réalisable ? vous voyez des risques de sécurité ?
Comment fait-on pour gérer l'IP publique du serveur Web vu qu'il peut avoir deux adresses IP ?
Comment faut-il faire pour pouvoir accéder à tous les équipements des différents réseaux de manière sécurisé depuis internet ?

Merci d'avance

Remarque : il peut y avoir des personnes mal attentionnées sur les réseaux 1-3

[JML19]

Bonjour

Je mettrais un routeur pour chaque LAN.

[boboss123]

Après réflexion, il me semble que je n'ai pas besoin de faire communiquer les LANs entre eux : je peux très bien me connecter à mon serveur par VNC sur l'interface Eth1 et à partir de là superviser mes équipements en utilisant les interfaces Eth2/1, Eth2/2 et Eth2/3.
=> Je dis une bêtise ? Avantage/inconvénients de cette solution ?
=> Je peux bien créer un serveur DHCP et un serveur TFTP par interface réseau virtuelle (je n'ai jamais testé) ?
=> VNC sur une connexion ADSL 2Mb, ça fonctionne ?

[BufferBob]

salut,

ça vous semble réalisable ? vous voyez des risques de sécurité ?

tel que tu le représentes sur ton diagramme on pourrait penser que le serveur web est dans le même réseau que la supervision, le dhcp et le tftp, auquel cas un serveur web compromis = tout le sous-réseau compromis, lequel est privilégié, donc on peut envisager que tout le SI y passe, c'est assez "direct"

d'autre part c'est quoi ce "serveur supervision", un nagios-like (auquel cas c'est lui aussi un serveur web) ? une base de donnée ? un serveur snmp ? un serveur ldap ?

Comment fait-on pour gérer l'IP publique du serveur Web vu qu'il peut avoir deux adresses IP ?

avec deux cartes réseau (éventuellement virtuelles, ou un vlan de service par exemple) ? ou alors du NAT ? (je suis pas certain de bien comprendre le sens de la question)

Comment faut-il faire pour pouvoir accéder à tous les équipements des différents réseaux de manière sécurisé depuis internet ?

je dirais à travers un VPN jusque dans le réseau de service ou par exemple jusqu'à la machine de supervision qui à priori a accès à tout

[boboss123]

Salut,

d'autre part c'est quoi ce "serveur supervision", un nagios-like (auquel cas c'est lui aussi un serveur web) ? une base de donnée ? un serveur snmp ? un serveur ldap ?

C'est un nagios-like. Le logiciel récupère régulièrement les équipements qui sont sur 10.1.x.x, 10.2.x.x et 10.3.x.x par SNMP et HTTP et les enregistre dans une BDD. Ces Information sont ensuite consultables via le serveur HTTP.
=> Tout ceci constitue le logiciel de supervision qui permet de détecter les erreurs de fonctionnement et d'automatiser la configuration des équipements. Si le logicel n'est plus opérationnel, le réseau fonctionnera quand même (à condition que les serveurs DHCP et TFTP continuent de fonctionner).
=> A terme il est prévu que le logiciel de supervision communique avec le serveur DHCP pour détecter les nouveaux équipements sur le réseau (je suis en train de voir si c'est réalisable)

tel que tu le représentes sur ton diagramme on pourrait penser que le serveur web est dans le même réseau que la supervision, le dhcp et le tftp, auquel cas un serveur web compromis = tout le sous-réseau compromis, lequel est privilégié, donc on peut envisager que tout le SI y passe, c'est assez "direct"

Non, ils sont sur des réseaux différents (voir mon second schéma) : serveur Web = 10.4.x.x (carte réseau n°1), autres serveurs = 10.1.x.x, 10.2.x.x, 10.3.x.x (carte réseau n°2)
=> par contre c'est la même machine : donc si la machine est hackée, l'attaquant aura accès à tout le réseau...

Il faudrait donc mettre le serveur Web sur une autre machine obligatoirement ?

[BufferBob]

C'est un nagios-like. Le logiciel récupère régulièrement les équipements qui sont sur 10.1.x.x, 10.2.x.x et 10.3.x.x par SNMP et HTTP et les enregistre dans une BDD. Ces Information sont ensuite consultables via le serveur HTTP.

donc c'est une BDD, l'interface nagios, elle, est sur le serveur web non ? (ça paraitrait logique en tous cas)

ça veut dire que tu as ton serveur web en frontal tout seul dans son sous-réseau, il ne peut pas accéder les autres machines, il peut accéder à internet en revanche, évidemment

dans un autre sous-réseau tu as la bdd, le serveur dhcp, le serveur tftp, qui eux peuvent taper aller n'importe où, c'est également ici qu'arrive l'endpoint d'un éventuel vpn pour la connexion sécurisée (donc on prévoit déjà un forwarding de 1 port pour le vpn vers disons la machine de bdd)

entre le serveur web et la bdd il faut un flux, l'idée c'est au maximum de restreindre à 1 connexion (ou 2 ou 3), si possible, sinon simplement réutiliser le vpn qu'on aura mis en place, il conviendra de gérer le firewall sur la machine bdd pour n'autoriser l'accès qu'au port bdd si c'est le serveur web qui se connecte, tandis qu'on laisse tout ouvert si c'est l'admin qui se connecte depuis l'extérieur

enfin derrière t'as tout le reste, les serveurs dhcp et tftp à coté de la bdd dans le même sous-réseau, et les trois sous-réseaux dans leurs vlans respectifs en 10.{1,2,3}.0.0

=> A terme il est prévu que le logiciel de supervision communique avec le serveur DHCP pour détecter les nouveaux équipements sur le réseau (je suis en train de voir si c'est réalisable)

oui ça me parait un peu farfelu mais dans l'idée c'est faisable, toujours pareil, le dhcp écrit dans la bdd, et sur le serveur web on a la partie frontend (pour afficher uniquement) qui va lire les données en bdd

Non, ils sont sur des réseaux différents (voir mon second schéma) : serveur Web = 10.4.x.x (carte réseau n°1), autres serveurs = 10.1.x.x, 10.2.x.x, 10.3.x.x (carte réseau n°2)

c'est pas clair pour moi
j'ai compris que t'avais 3 sous-réseaux/vlans qui dépendent du même réseau de service, lequel contient dhcp, tftp et bdd (donc les serveurs ne sont pas dans les sous-réseaux, mais ils peuvent envoyer du trafic dedans)

par contre c'est la même machine : donc si la machine est hackée, l'attaquant aura accès à tout le réseau...

enfin c'est une VM ou un container, c'est pas si simple de s'évader d'une VM pour accéder à l'hyperviseur que d'exploiter une faille sur le site web, mais dans l'absolu oui

Il faudrait donc mettre le serveur Web sur une autre machine obligatoirement ?

le risque zéro n'existe pas, y'a un moment où ça n'est plus rentable de sécuriser à tout prix

[boboss123]

Il me semble que tu n'as pas bien compris ce que je voulais dire : je viens plus détailler.
Le schéma 1, on oublie : on se concentre uniquement sur le schéma 2.

Sur le schéma 2, j'ai dessiné le PC (le gros carré) avec :
1- la sortie de mon premier port Ethernet (1ere carte réseau) du serveur est Eth1.
2- les sorties du second port Ethernet (2ieme carte réseau) du serveur est Eth2/x => x représente les interfaces virtuelles (1 interface virtuelle par VLAN) .
3- dans les carrés en pointillés, j'ai mis les services qui sont affecté à chaque interface réseau.
4- Le cœur du logiciel de supervision qui tourne sur la machine pilote les service "supervision" : il leur demande de récupérer l'état ou de configurer les équipements sur chacun des réseaux.
5- La BDD est affectée à l'interface Eth2/1 => c'est l'interface réseau qui est connectée au coeur du réseau (donc théoriquement la moins sujette aux attaques) : j'ai oublié de la dessiner sur le schéma.
6- Le service Web et VNC sont affectés à l'interface Eth1

Donc si je veux configurer manuellement depuis l'extérieur un équipement qui est sur une interface Eth2/x :
- Je me connecte avec VNC au bureau du PC via l'interface Eth1 et de là je peux configuré/superviser les équipements qui sont sur les réseaux Eth2/x

=> Est-ce que c'est plus clair ?


Cordialement

[boboss123]

le risque zéro n'existe pas, y'a un moment où ça n'est plus rentable de sécuriser à tout prix

Oui mais quand doit-on s'arrêter ? La solution que je propose est me semble t-il la moins une des solutions (si elle fonctionne) la moins cher à mettre en place.
=> Est-ce que se dire "tant que je ne me suis pas fait hacké, je reste comme ça" est viable ou non ?... je n'ai jamais fais de formation en sécurité réseau : quelles sont les bonnes pratiques ?

cordialement

[BufferBob]

=> Est-ce que c'est plus clair ?

oui, disons pour faire simple qu'on a pas la même perception du SI en l'occurrence, peut-être que tu fais des études réseau et de fait tu as une perception réseau de la chose, pour ma part je n'ai que de l'expérience perso et une perception de hacker - disons le franchement - dans laquelle je tiens compte des interfaces mais aussi des machines sur lesquelles les services tournent
pour prendre un exemple caricatural, si on a 10 réseaux en étoile avec au centre 1 unique machine physique qui sert à la fois de concentrateur vpn, de serveur de fichiers clients, les données compta etc., de bdd, de routeur et (...) de serveur web (qu'on considère vulnérable de manière effective), entre le piratage du serveur web et le piratage de la totalité du réseau avec un gros man-in-the-middle il n'y a qu'une -éventuelle- élévation de privilèges, souvent réaliste

Oui mais quand doit-on s'arrêter ?

c'est difficile à dire, c'est tout le propos de l'évaluation du risque, tache qui incombe en général à la partie sécu (l'archi soumet son bouzin, la sécu valide et émet des recommandations)

=> Est-ce que se dire "tant que je ne me suis pas fait hacké, je reste comme ça" est viable ou non ?

en termes de sécurité non, si la question est "est-ce que c'est humainement viable de fonctionner comme ça" oui, y'en a pleins qui le font, entre les décideurs pour qui tout a un coût et tout doit rentrer dans des cases, le risque doit être prévu et allumer une loupiotte visible sur son tableau de bord, les vieux briscards près de la retraite qui ne veulent pas tout chambouler, les frileux "pas d'sac, pas d'vague" qui se contentent de faire ce qu'on leur commande en jouant les chirurgiens du périmètre de responsabilité etc. on doit couvrir largement plus des trois quarts des intervenants non-sécu, ce qui explique peut-être le niveau de sécurisation global des entreprises, cqfd.
(et en général la sécu réclame des sous pour améliorer, des ressources pour pouvoir couvrir plus de problèmes, on ne leur donne pas, et une fois que l'entreprise s'est faite pirater c'est sur eux qu'on tape en dénonçant le coût du piratage )

du coup je ne saurai pas te dire plus, il est possible que d'un point de vue purement réseau ton idée soit viable et le meilleur rapport qualité/coût

[boboss123]

oui, disons pour faire simple qu'on a pas la même perception du SI en l'occurrence, peut-être que tu fais des études réseau et de fait tu as une perception réseau de la chose, pour ma part je n'ai que de l'expérience perso et une perception de hacker - disons le franchement - dans laquelle je tiens compte des interfaces mais aussi des machines sur lesquelles les services tournent
pour prendre un exemple caricatural, si on a 10 réseaux en étoile avec au centre 1 unique machine physique qui sert à la fois de concentrateur vpn, de serveur de fichiers clients, les données compta etc., de bdd, de routeur et (...) de serveur web (qu'on considère vulnérable de manière effective), entre le piratage du serveur web et le piratage de la totalité du réseau avec un gros man-in-the-middle il n'y a qu'une -éventuelle- élévation de privilèges, souvent réaliste

Pour info, mon profile est à la base le développement des équipements réseaux (couche 2). Je suis en train d'aider un client à mettre en place son réseau (en utilisant mes équipements) mais le domaine d'administration et de la sécurité est nouveau pour moi.
=> donc nos deux visions du réseau doivent effectivement être assez éloignées

du coup je ne saurai pas te dire plus, il est possible que d'un point de vue purement réseau ton idée soit viable et le meilleur rapport qualité/coût

=> Merci, c'est clair pour moi. Je présente les avantages/inconvénients, risques, répercussions et avis perso à mes supérieurs et c'est eux qui décident

Merci

[Invité]

Dans ce genre d'infra, si on voulait faire les choses dans les règles de l'art, il faudrait isoler le serveur Web dans une DMZ externe et insérer un firewall de rang 2 entre cette DMZ externe et le reste de ton réseau (notamment, la BDD de Nagios ne devrait pas être embarquée sur la même machine que le serveur WWW).

Perso, je ferais un truc comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
         ISP1       ISP2
           \         /
            \       /
             +-----+
             | FW1 |
             +-----+        www
                |            |
           |-----------------------| DMZ Externe 10.4/16
                       |
                    +-----+
                    | FW2 |--------- VLAN11, 12, 13
                    +-----+
                       |
           |-----------------------| DMZ Interne
               |     |     |    |
             DHCP  TFTP   AD   BDD

FW1 est le firewall "de rang 1" ( un "rang 0" consisterait à installer un mécanisme d'IDS/IPS).
FW2 est le firewall de rang 2. Normalement, tu devrais pouvoir tirer un nouveau VLAN pour installer un serveur DHCP et TFTP que tu pourras mutualiser pour servir les VLAN 11,12 et 13. Inutile en effet de créer plusieurs instances virtuelles DHCP et TFTP, c'est FW2 qui va forwarder les flux TFTP et servir d'IP Helper pour les requêtes DHCP. C'est également ici que tu placeras ton Active Directory...

Concernant l'accès distant, dans ce type d'infra on utilise généralement FW1 comme terminateur VPN qui va "taper" dans l'AD pour l'authentification.
Puis après, c'est une histoire d'iptables pour être capable d'accéder aux VLAN11, 12 et 13.

L'intérêt de ce design, c'est qu'au niveau de FW1, je n'ai simplement besoin d'ouvrir que 2 ou 3 ports pour le traffic entrant.
Le plus gros de la matrice de flux est porté par FW2 qui est invisible depuis l'Internet et protégé par FW1.

Concernant le reprise du lien ISP1 par ISP2, il faudrait en savoir plus sur la nature de FW1.
Si ce firewall possède 2 interfaces WAN, il propose peut-être des fonctionnalités qui permettront de faire des choses dynamiquement.

Steph

[boboss123]

OK merci

Concernant le reprise du lien ISP1 par ISP2, il faudrait en savoir plus sur la nature de FW1.
Si ce firewall possède 2 interfaces WAN, il propose peut-être des fonctionnalités qui permettront de faire des choses dynamiquement.

Le firewall selectionné aura cette fonctionnalié. Par contre, si on a deux accès ADSL, on aura 2 IP publiques : il y a un moyen pour que le basculement se fasse de manière invisible pour les personnes qui se connectent au serveur web (comment avoir le même nom de domaine avec deux IP en détectant celle qui est active ?) ?

[Invité]

OK merci


Le firewall selectionné aura cette fonctionnalié. Par contre, si on a deux accès ADSL, on aura 2 IP publiques : il y a un moyen pour que le basculement se fasse de manière invisible pour les personnes qui se connectent au serveur web (comment avoir le même nom de domaine avec deux IP en détectant celle qui est active ?) ?

Ce genre de design (DMZ externe exposée sur l'Internet et 2 liens actif/passif vers 2 ISP) n'est pas courante.
Ca se fait généralement en montant deux sessions eBGP avec les deux ISP (et en annonçant le même NLRI avec des attributs BGP différents).

Dans ton cas de figure, il va falloir creuser du côté de dynamic DNS (dyndns). Mais je ne sais pas quel est le délai moyen pour finaliser une bascule d'IP sous dyndns.

Steph

[boboss123]

ok merci