IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Windows Discussion :

Demande avis: architecture réseau TPE (très petite entreprise)


Sujet :

Windows

  1. #1
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    Décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2012
    Messages : 5
    Points : 1
    Points
    1
    Par défaut Demande avis: architecture réseau TPE (très petite entreprise)
    Bonjour à tous,

    voilà dans ma Très petite Entreprise, je mets en place un réseau à base de NAS.
    L'idée n'est pas de créer le réseau parfait super sophistiqué, lourd à maintenir.

    Pour moi, j'ai pensé à cette archi car, les pc ne sont pas sur les mêmes OS, (vista 32 bits, XP, Seven 64bits, ...), et c'est facile à installer.

    Le synology est pas mal fait, et je vais essayer d'installer SVN.
    Dites ce que vous en pensez, merci:


    ah oui, vous constatez que je n'ai pas mis le NAS sur le sous-réseau internet. Ce n'est pas pratique pour les mise à jour certes, mais au moins c'est un premier niveau de sécurité pour protéger les données sans se prendre la tête, non?

  2. #2
    Expert éminent sénior
    Avatar de JML19
    Homme Profil pro
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    Décembre 2010
    Messages
    14 916
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : Décembre 2010
    Messages : 14 916
    Points : 23 212
    Points
    23 212
    Billets dans le blog
    10
    Par défaut
    Bonsoir

    Tu utilises donc deux cartes réseaux une filaire pour le NAS et une Wifi pour la Livebox et Internet ?

    Comment vas tu gérer ton réseau IP ?

    Les PC en DHCP sur la Livebox et le NAS en IP fixe puisque tu n'as pas de liaison NAS sur la Livebox ?
    Vous pouvez utiliser les FAQ (ICI) ou les Tutoriels (ICI) et aussi accéder au blog (ICI)

  3. #3
    Membre actif Avatar de kratoce
    Homme Profil pro
    Apprenti
    Inscrit en
    Octobre 2012
    Messages
    270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Apprenti

    Informations forums :
    Inscription : Octobre 2012
    Messages : 270
    Points : 238
    Points
    238
    Par défaut
    Si possible je ferai plus simple :



    Comme ça tu n'as qu'une carte réseau à utiliser et qu'une adresse ip en DHCP sur ta Livebox (c'est elle qui s'occupe de gérer les adresses ip).

    Après, je ne connais pas ton architecture et tes besoins, mais je pense que ce serait quand même le plus simple.
    Images attachées Images attachées  
    Ne mangez plus de thon, il est en voie de disparition! Mangez plutôt du con, il est en voie de surpopulation!!!!

  4. #4
    Invité
    Invité(e)
    Par défaut
    Salut,

    ce sera certainement plus sécurisé si tu crées une DMZ attachée à la LiveBox (ce qui est la pratique courante et personnellement, c'est ce que je recommanderais).

    Comme écrivait JML, tu rajoutes de la complexité sur les PC utilisateurs... Deux accès réseau par PC, un statique, un dynamique, tout ça sous Windows

    Et puis un NAS, c'est également très pratique lorsque les utilisateurs peuvent y accéder depuis n'importe où sur le Net!

    Steph

  5. #5
    Membre actif Avatar de kratoce
    Homme Profil pro
    Apprenti
    Inscrit en
    Octobre 2012
    Messages
    270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Apprenti

    Informations forums :
    Inscription : Octobre 2012
    Messages : 270
    Points : 238
    Points
    238
    Par défaut
    Citation Envoyé par IP_Steph Voir le message
    Salut,

    ce sera certainement plus sécurisé si tu crées une DMZ attachée à la LiveBox (ce qui est la pratique courante et personnellement, c'est ce que je recommanderais).

    Comme écrivait JML, tu rajoutes de la complexité sur les PC utilisateurs... Deux accès réseau par PC, un statique, un dynamique, tout ça sous Windows

    Et puis un NAS, c'est également très pratique lorsque les utilisateurs peuvent y accéder depuis n'importe où sur le Net!

    Steph
    +1
    Mais crashburn1, sais-tu installer une DMZ ?
    Ne mangez plus de thon, il est en voie de disparition! Mangez plutôt du con, il est en voie de surpopulation!!!!

  6. #6
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    Décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2012
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    merci pour vos réponses.

    Alors une DMZ, je n'en ai jamais mis en œuvre et ce que j'expliquais c'est que je ne veux pas que l'on accède au NAS depuis le net car données entreprises.

    Le fait de faire 2 réseaux, je suis d'accord que ce n'est pas l'idéal mais je veux protéger efficacement et facilement le cœur des données entreprise.

    Maintenant si vous m'expliquez simplement comment faire une DMZ facile et fiable, c'est sans doute le mieux, parce que pour les mises à jour du NAS et les téléchargements de paquet, ce sera plus pratique si le NAS peut accéder directement au web.

  7. #7
    Expert éminent sénior
    Avatar de JML19
    Homme Profil pro
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    Décembre 2010
    Messages
    14 916
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : Décembre 2010
    Messages : 14 916
    Points : 23 212
    Points
    23 212
    Billets dans le blog
    10
    Par défaut
    Bonjour

    Tu vas sur la Livebox2 choix Configuration avancée partie Réseau Onglet DMZ tu mets tous les postes en DMZ sauf le NAS.

    Avec la Livebox2 le NAS sera encore accessible sur le LAN mais pas depuis Internet, par contre les postes ne seront plus protégés par le Firewall.
    Vous pouvez utiliser les FAQ (ICI) ou les Tutoriels (ICI) et aussi accéder au blog (ICI)

  8. #8
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    Décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2012
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    C'est une livebox PRO, qui est aussi relié au central d'appel.

    Nouveau synoptique:


    qu'en pensez vous?

  9. #9
    Membre actif Avatar de kratoce
    Homme Profil pro
    Apprenti
    Inscrit en
    Octobre 2012
    Messages
    270
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Apprenti

    Informations forums :
    Inscription : Octobre 2012
    Messages : 270
    Points : 238
    Points
    238
    Par défaut
    Citation Envoyé par JML19 Voir le message
    Bonjour

    Tu vas sur la Livebox2 choix Configuration avancée partie Réseau Onglet DMZ tu mets tous les postes en DMZ sauf le NAS.

    Avec la Livebox2 le NAS sera encore accessible sur le LAN mais pas depuis Internet, par contre les postes ne seront plus protégés par le Firewall.
    Il n'y a pas d’intérêt de mettre en DMZ si c'est les ordinateur de bureau ?
    Ne mangez plus de thon, il est en voie de disparition! Mangez plutôt du con, il est en voie de surpopulation!!!!

  10. #10
    Expert éminent sénior
    Avatar de JML19
    Homme Profil pro
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    Décembre 2010
    Messages
    14 916
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : Décembre 2010
    Messages : 14 916
    Points : 23 212
    Points
    23 212
    Billets dans le blog
    10
    Par défaut
    Perso je pense tu te compliques la vie pour rien, tu mets tout sur un Switch et basta, pour la protection tu installes un firewall.
    Vous pouvez utiliser les FAQ (ICI) ou les Tutoriels (ICI) et aussi accéder au blog (ICI)

  11. #11
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    Décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2012
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    voici les paramètres par défaut de mon parefeu livebox actuellement.

    Est ce que les règles sont suffisantes pour protéger efficacement le réseau interne entreprise aux attaques hostiles du web sur le NAS et les autres PC?

    Sinon, quelle règle rajouter?



    je précise que le seul sous réseau utilisé actuellement est le 192.168.1.x
    Aucun autre n'est utilisé à ma connaissance.
    Aujourd'hui seul le wifi est utilisé pour accéder au web et y'a pas de NAS.
    Je veux passer en filaire pour le NAS, et du coup sans doute aussi pour le web et dans ce cas je désactiverais le wifi.

  12. #12
    Expert éminent sénior
    Avatar de JML19
    Homme Profil pro
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    Décembre 2010
    Messages
    14 916
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : Décembre 2010
    Messages : 14 916
    Points : 23 212
    Points
    23 212
    Billets dans le blog
    10
    Par défaut
    C'est bien mais tu peux réserver dans le DHCP une IP fixe pour le NAS et la bloquer avec le firewall si tu veux protéger ton NAS d'Internet.
    Vous pouvez utiliser les FAQ (ICI) ou les Tutoriels (ICI) et aussi accéder au blog (ICI)

  13. #13
    Nouveau Candidat au Club
    Homme Profil pro
    Inscrit en
    Décembre 2012
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Décembre 2012
    Messages : 5
    Points : 1
    Points
    1
    Par défaut
    mais là si je comprends bien les règles toutes les ip 192.168.x.x sont protégés d'internet sur tous les ports.

    si mon NAS est par ex en 192.168.1.10, il est inclus dans cette règle, le fait d'en rajouter une spécifique avec cette ip ne rajoutera pas de protection supplémentaire, à moins que qqch d'autre m'échappe.

    D'ailleurs, si on autorise du traffic internet->LAN c'est par exemple faire du VPN ou du FTP depuis un poste distant, c'est ça.

    Comme ce n'est pas mon besoin aujourd'hui, si je bloque tout je ne prends aucun risque, n'est ce pas.

    Les firewall logiciel sont ils fiables? les hackers doivent bien trouver des parades non?

    Même si nous ne sommes pas une société classée Secret défense, je préfère être assez bien protégé.

    merci de toutes vos réponses en tout cas.

  14. #14
    Expert éminent sénior
    Avatar de JML19
    Homme Profil pro
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    Décembre 2010
    Messages
    14 916
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : Décembre 2010
    Messages : 14 916
    Points : 23 212
    Points
    23 212
    Billets dans le blog
    10
    Par défaut
    Citation Envoyé par crashburn1 Voir le message
    mais là si je comprends bien les règles toutes les ip 192.168.x.x sont protégés d'internet sur tous les ports.

    si mon NAS est par ex en 192.168.1.10, il est inclus dans cette règle, le fait d'en rajouter une spécifique avec cette ip ne rajoutera pas de protection supplémentaire, à moins que qqch d'autre m'échappe.

    D'ailleurs, si on autorise du traffic internet->LAN c'est par exemple faire du VPN ou du FTP depuis un poste distant, c'est ça.

    Comme ce n'est pas mon besoin aujourd'hui, si je bloque tout je ne prends aucun risque, n'est ce pas.

    Les firewall logiciel sont ils fiables? les hackers doivent bien trouver des parades non?

    Même si nous ne sommes pas une société classée Secret défense, je préfère être assez bien protégé.

    merci de toutes vos réponses en tout cas.
    Oui tu peux tout bloquer en entrée mais tu auras des problèmes avec tes postes qui utilisent Internet.

    Un firewall s'il bloque une IP est efficace mais rien n'est imparable.

    Si tu veux une protection supplémentaire tu intercales un routeur entre la Livebox et le Switch et tu fais du double NAT.

    Le routeur sera branché avec son port WAN sur le port LAN de la Livebox, la sortie du routeur sera branchée sur le Switch et tous les équipements seront sur le Switch.

    La livebox donnera une IP au routeur en DHCP et communiquera ses informations WAN à celui ci, le routeur fera son propre réseau en DHCP.

    De plus tu peux aussi utiliser les firewall logiciel mais avec le routeur tu as un firewall matériel créé par celui ci.

    La Livebox fait du NAT entre le WAN du FAI et son LAN, le routeur fait du NAT entre le LAN Livebox et le LAN qu'il créait lui même pour le Swich et tous les équipements derrière.
    Vous pouvez utiliser les FAQ (ICI) ou les Tutoriels (ICI) et aussi accéder au blog (ICI)

  15. #15
    Invité
    Invité(e)
    Par défaut
    Je viens de découvrir que la livebox2 se tranformait automagiquement en ignoble passoire lorsqu'on définit une DMZ

    Alors oublie la DMZ made in liveboxland

    Il te reste donc les solutions suivantes :

    1) Acheter un équipement capable de supporter des DMZ dignes de ce nom (ça n'est pas un gros investissement, même pour une très petite entreprise),

    2) Déployer NAS + PC sur le même segment derrière la Livebox et faire les ajustements de sécurité. Si les ouvertures de flux sont bien faites, je ne vois pas de problème particulier.

    Si tu veux une protection supplémentaire tu intercales un routeur entre la Livebox et le Switch et tu fais du double NAT.

    Le routeur sera branché avec son port WAN sur le port LAN de la Livebox, la sortie du routeur sera branchée sur le Switch et tous les équipements seront sur le Switch.
    Le NAT n'est pas une techno de sécurité...

    Steph

  16. #16
    Expert éminent sénior
    Avatar de JML19
    Homme Profil pro
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    Décembre 2010
    Messages
    14 916
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : Décembre 2010
    Messages : 14 916
    Points : 23 212
    Points
    23 212
    Billets dans le blog
    10
    Par défaut
    Citation Envoyé par IP_Steph Voir le message
    Le NAT n'est pas une techno de sécurité...

    Steph
    Bonsoir IP_Steph

    Oui le NAT ne fait de sécurité, mais le routeur intercalé oui, on le considère souvent comme un firewall matériel.
    Vous pouvez utiliser les FAQ (ICI) ou les Tutoriels (ICI) et aussi accéder au blog (ICI)

  17. #17
    Membre éprouvé Avatar de TallyHo
    Homme Profil pro
    Lutin numérique
    Inscrit en
    Février 2006
    Messages
    1 053
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Lutin numérique

    Informations forums :
    Inscription : Février 2006
    Messages : 1 053
    Points : 1 052
    Points
    1 052
    Par défaut
    La question est surtout de savoir : est ce que ça vaut le coup de s'embêter sur un "petit réseau" comme celui-ci ? Je veux dire... Quels sont les risques de piratage de la TPE Plomberie Service par exemple ? Bien entendu, si tu es sur des activités sensibles, la question ne se pose pas. Mais dans d'autres cas, j'ai un doute...

    Il y a des tas de TPE "classiques" qui fonctionnent sur le schéma Box -> Switch -> PC, Imp, etc... et qui s'en portent bien. Maintenant je ne connais pas trop la fiabilité du FW de la Livebox, en tout cas je n'ai jamais entendu quoi que ce soit de litigieux sur elle.

    Au pire, comme il a été dit plus haut, tu intercales un routeur entre la box et le switch et voila
    .
    Heureux soient les fêlés car ils laisseront passer la lumière.
    Michel Audiard

Discussions similaires

  1. Réponses: 0
    Dernier message: 03/07/2014, 16h46
  2. Réponses: 4
    Dernier message: 29/06/2014, 14h53
  3. Architecture réseau TPE
    Par dotchow dans le forum Ordinateurs
    Réponses: 5
    Dernier message: 23/11/2011, 11h39
  4. Réponses: 33
    Dernier message: 22/09/2010, 15h45
  5. Réponses: 5
    Dernier message: 07/02/2008, 23h54

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo