Discussion :

[stef6]

Bonjour,

Voici mon problème, je travaille pour une entreprise où le réseau sur un seul site est constitué d'environ 45 postes de travail, en majorité des postes clients, et quelques serveurs.

Il y a active directory 2008.

Le problème est qu'il n'y a pas de cloisonnement entre les différentes parties du réseau (différents services de l'entreprise)

Par exemple avec Active Directory, il y a un domaine unique, mais pas de groupes ou de sous domaines.

Il y a une plage unique d'adresses IP privées. Pas de Vlan

Si on branche une machine quelconque au réseau, il y a allocation automatique d'une adresse IP et en faisant un scan ou un simple ping on atteint toutes les machines du réseau.

Ce réseau nécessite une segmentation logique, mais comment faire ?

Faut il agir au niveau applicatif, en créant des groupes AD ?

Faut il agir au niveau reseau en créant plusieurs plages d'adresses IP ? Si Vlan, de niveau 2 ou de niveau 3 ?

Merci beaucoup !

[razmous]

Bonjour,

Si on segmente un réseau c'est par rapport à un besoin de sécurité et/ou métiers.

En générale, on met les serveurs dans un vlan (admin) séparément des VLAN utilisateurs finaux, on met les utilisateurs dans des vlans différents par rapports à leur métiers (en parlant de vlan je suppose que vous restez sur du ipv4). Afin de faire communiquer les équipements sur des vlans différents, il vous faut un switch inter-vlan (ou un routeur). Pour sécuriser mieux, un parefeu.

Active Directory est un service annuaire (entre autre c'est un service, LDAP, DHCP, DNS, Kerberos, etc.), à part la gestion des utilisateurs et autorisations, il n'a rien à faire avec la segmentation logique du réseau, à part le service DHCP/DNS dynamique pour attribuer les adresses dynamiquement.

Si vous voulez empêcher les utilisateurs de se connecter via le réseau il faut voir du coté 802.1x (il vous faudra un serveur d'authentification Radius ou autre), sinon il y a d'autres solutions (désactive/active le port, filtrage MAC par port, mais bon ça vaut ce que ça vaut)

J'espère que cela réponds à votre question

[stef6]

Bonsoir,

Et merci pour votre réponse ! En me relisant j'ai l'impression que j’étais vraiment embrouillé dans ma tete en ecrivant cela !

En générale, on met les serveurs dans un vlan (admin) séparément des VLAN utilisateurs finaux, on met les utilisateurs dans des vlans différents par rapports à leur métiers (en parlant de vlan je suppose que vous restez sur du ipv4)

Je comprends, et je suis d'accord avec vous. Mon prédécesseur envisageait de faire un Vlan "invité" et un "vlan" usagers pour les employés.
Le Vlan "invites" devait permettre aux extérieurs à l'entreprise de se connecter par le wifi. Mais je suis pas trop convaincu, j'ai plutôt l'impression qu'il vaut mieux creer un sous reseau wifi séparé par un pare feu, ou alors un système d'authentification wifi permettant de creer des comptes temporaires ?

Pour rappel il s'agit d'une petite entreprise avec environ 40 PC et windows serveur 2008.

Active Directory est un service annuaire (entre autre c'est un service, LDAP, DHCP, DNS, Kerberos, etc.), à part la gestion des utilisateurs et autorisations, il n'a rien à faire avec la segmentation logique du réseau

Ici j'ai plus de mal à comprendre. Car dans un domaine ou un groupe donné,,grace aux GPO on va bien décider si un machine se connecte ou pas au voisinage réseau, donc il s'agit bien d'une segmentation ? Est ce qu'il ne peut pas y avoir redondance, ou bien contradiction avec la segmentation logique faite par les Vlan (switch niveau 2)

Si vous voulez empêcher les utilisateurs de se connecter via le réseau il faut voir du coté 802.1x

Je comprends la problématique d’authentification et ce que vous me dites.

Bonne soirée !

[JayGr]

Bonsoir,

Et merci pour votre réponse ! En me relisant j'ai l'impression que j’étais vraiment embrouillé dans ma tete en ecrivant cela !

En générale, on met les serveurs dans un vlan (admin) séparément des VLAN utilisateurs finaux, on met les utilisateurs dans des vlans différents par rapports à leur métiers (en parlant de vlan je suppose que vous restez sur du ipv4)

Je comprends, et je suis d'accord avec vous. Mon prédécesseur envisageait de faire un Vlan "invité" et un "vlan" usagers pour les employés.
Le Vlan "invites" devait permettre aux extérieurs à l'entreprise de se connecter par le wifi. Mais je suis pas trop convaincu, j'ai plutôt l'impression qu'il vaut mieux creer un sous reseau wifi séparé par un pare feu, ou alors un système d'authentification wifi permettant de creer des comptes temporaires ?

Pour rappel il s'agit d'une petite entreprise avec environ 40 PC et windows serveur 2008.

Active Directory est un service annuaire (entre autre c'est un service, LDAP, DHCP, DNS, Kerberos, etc.), à part la gestion des utilisateurs et autorisations, il n'a rien à faire avec la segmentation logique du réseau

Ici j'ai plus de mal à comprendre. Car dans un domaine ou un groupe donné,,grace aux GPO on va bien décider si un machine se connecte ou pas au voisinage réseau, donc il s'agit bien d'une segmentation ? Est ce qu'il ne peut pas y avoir redondance, ou bien contradiction avec la segmentation logique faite par les Vlan (switch niveau 2)

Si vous voulez empêcher les utilisateurs de se connecter via le réseau il faut voir du coté 802.1x

Je comprends la problématique d’authentification et ce que vous me dites.

Bonne soirée !

Bonjour,

Je m'accorde avec ce qui a été proposé par razmous sur l'organisation des vlans. Pour ce qui est de l'accès des invités à un réseau Wifi. Votre idée est bonne. Vous pourrez cloisonner complètement le réseau invité du réseau entreprise, ce qui est préférable tout de même...

Pour ce qui est de l'AD, il y a certaines bonnes pratiques à respecter. L'ISRM a rédigé un doc là dessus ici : Doc là dessus

Je vous conseille d'y jeter un œil.

@+

JayGr