Discussion :

[moghit]

Bonjour tout le monde , je suis nouveaux dans le forum c'est la première fois que j'ose poser une question dans ce meilleur forum ,j'espère que vous m'aidiez
je viens de commencer un stage la mise en place d'une architecture réseaux le schéma suivant c'est mon propre oeuvre je veux bien avoir quelque idée pour que je puisse mètre la meilleure solution .
les cameras relié au DVR ====> vlan camera
une partie du réseau qui accède a internet ==> vlan net
un serveur windows 2008 + Outlook + l'application de la société sous serveur web(apache ) donc l'installation des application seront dans windows server 2008 dans ce vlan il a son propre dhcp ===>le vlan interne

merci de votre aide

[chrtophe]

Je suis pas spécialiste réseau mais le shéma me parait pas mal.

Tu peux peut-être ajouter une carte réseau dans le serveur WEB/mail qui sera (ou seront) reliée au VLAN interne. Mais je ne suis pas spécialiste réseau donc avis des camarades nécessaire.

[A&Nexus]

Hello,

sur le serveur dans la DMZ, tu peux peut-être ajouter une carte réseau dans le serveur qui sera relié au VLAN interne

Dans ce cas là tu perds l'intérêt de la DMZ

[chrtophe]

Pas forcément, avec utilisation d'adressage interne sur cette carte et proxy. C'est vrai que dans ce cas on ne sait pas si il y en a un. Par contre, sur le schéma, on voit voit outlook vers serveur 2008 dans le LAN : serveur exchange ?

[A&Nexus]

Le but de la DMZ est d'isoler un serveur du réseau data (en gros) et de filtrer les utilisations LAN DATA <-> DMZ par le firewall.
Si tu lui met une patte dans le LAN il a un accès openbar sans repasser par le firewall au LAN DATA.

[chrtophe]

J'ai une config comme cela sur un parc qui ne pose pas de probs, maintenant ça veut pas dire que c'est la meilleure config ni la pire. Mais la config est en place depuis longtemps (mise en service par une personne de très bon niveau - pas par moi), sur un parc subissant des attaques de l’extérieur. Il n'y a pas de routes entre les cartes WAN et LAN sur le serveur web/mail

Le principe sur ce parc -> depuis le LAN accès au serveur web/mail via leur patte LAN (en 10.1.2.x), depuis Internet via le routeur->firewall->patte DMZ reliée sur l'autre carte réseau du serveur WEB/mail via adr ip publique. Les ordis passent par Internet par un Proxy (dans la DMZ).

En cas d'accès à Internet : station->proxy patte LAN->proxy patte WAN->firewall->routeur->internet
En cas d'accès aux mails : station->serveur mail patte LAN->serveur mail patte WAN (en cas d'envoi)->firewall->routeur->internet

[A&Nexus]

Oui ce schéma va fonctionner techniquement sans problème.
C'est juste que dans ce genre de scénario tu n'a pas besoin de DMZ.

[ram-0000]

Assez (très) d'accord avec A&Nexus.

Une DMZ, cela sert à ce que si la machine est compromise de l'extérieur, elle ne puisse faire vers l’intérieur que ce qui est autorisé par le firewall.

Si la machine en DMZ a un accès direct au réseau interne, le firewall ne protège plus le réseau interne.

[moghit]

Bonjour et Merci pour vos réponses alors d’après ce que j'ai compris la DMZ sera utile que si j'ai un accès obligatoire de l’extérieur vers la machine ou (VLAN) hors que le patron insiste a ce que le réseau Vlan interne n'aura aucun accès a internet , le Vlan camera celui ci par contre il est tjrs sollicité de l'extérieur d'ou la présence de la partie DMZ est du DNS
pour répondre a chrtophe , il y a la présence d'un serveur email je n'ai encore pas décidé le quel ( la messagerie c'est interne Outlook sans internet )
pour récapitulé
vlan interne ==> serveur windows 2008 + dhcp + dns + applications internes + machines
vlan net ==>accès limité a internet
vlan camera ==> accès internet

[A&Nexus]

Oui tu peux faire ça.

Saches aussi que tu peux accéder de l'extérieur à un service interne (web, mail etc...) sans pour autant que ton serveur n'ai accès à Internet.
Vu que ton responsable insiste absolument pour ne pas avoir Internet cela peut dans certains cas te simplifier la vie en évitant de passer par une DMZ.

v2 (mais un peu plus chère) :
Tu peux également n'avoir que deux vlan (interne et caméra) avec un vrai firewall (style netasq, fortinet, ...).
Tu pourras contrôler l'accès Internet en fonction des utilisateurs AD, des postes etc et permettre à certain de ne rien avoir et à d'autre d'être limité à Internet.
L'avantage c'est que tu as moins de réseau à gérer et si un utilisateur change de PC il n'aura qu'à se loguer pour que ses droits Internet "le suive".

[moghit]

merci A&Nexus , ben c ça ce que je vais faire DC1 & DC2(réplication) +dhcp+dns (serveur windows 2008)+ serveur web apache (linux ) pour l'application interne + serveur email (linux) tous ça dans la partie vlan interne
la partie camera il y'aura les DVR ... etc
le firewall ça dépend du budget (matériel ou logiciel )
un routeur pour la gestion des Vlans
par contre la DMZ je crois que je vais la garder (il y'aura une partie dont j'ai pas parlé c'est un serveur web destiné au site web de la société ) donc ca sera l'emplacement idéal d’après mes connaissances

[A&Nexus]

par contre la DMZ je crois que je vais la garder (il y'aura une partie dont j'ai pas parlé c'est un serveur web destiné au site web de la société ) donc ca sera l'emplacement idéal d’après mes connaissances

Exactement c'est ce qu'il faut. Le serveur web ne sera que dans la DMZ et n'a pas besoin d'avoir accès à ton réseau interne.
Même s'il se fait pirater personne ne pourra rentrer dans ton réseau interne/camera.

Au cas où mais d'après ton message je préfère le préciser le firewall te fait office de routeur en même temps (donc pas besoin de routeur si firewall).
Quitte à ne pas mettre de firewall (question de budget) regarde du côté de pfsense distri gratuite et plutôt solide.

Un petit Fortinet30D devrait te coûter dans les 450€HT (achat oneshot) si tu veux des licences pour le webfilter dynamique (en fonction de catégories) ou l'application control c'est de 300€/an (de mémoire le prix que l'on avait payé).

[moghit]

je vois , je poste la structure finale si j'ai bien compris


le serveur web et messagerie interne c'est pour l'application qui utilise apache et la messagerie (Outlook interne puisqu'il sera en intranet ) svp si vous pouvez me donner une idée sur les serveur ismp ou pop3 que je puisse intégrer j'ai trouvé en cherchant ( exchange payant mais en gratuit service POP3 windows 2003, sendmail,postfix ).

- pour le firewall je vais voir celui que tu ma recommandé " pfSense " .
- pour le serveur DNS sue la DMZ je crois que je vais le garder pour le web et pour les cameras .
je crois qu'on est arrivé

[chrtophe]

pour le serveur mail :

pour linux :
smtp :postfix/sendmail/qmail exim pop3/imap: dovecot/cyrus/courrier
pour Windows :
hmailserver

[A&Nexus]

Pour la messagerie sans hésiter zimbra (en gratuit pck sinon exchange )

Par contre à quoi te servira ton DNS dans la DMZ ?
Tu ne peux pas utiliser le DNS public ou même pointer sur ton routeur plutôt que d'avoir un serveur qui ne fait rien de plus que rediriger sur internet.

[moghit]

excusez moi pour le retard , en fait le serveur DNS c'est pour redirection certes , mais je cris que ça augmente la sécurité pour le serveur web , les vlans internet ,et camera comme ça toute information passera par le DNS et après passe a internet dites moi si je me trompe

pour zimbra je l’installe sur linux ? est ce que je peux utiliser outlook comme client ?

[A&Nexus]

merci A&Nexus , ben c ça ce que je vais faire DC1 & DC2(réplication) +dhcp+dns (serveur windows 2008)+ serveur web apache (linux ) pour l'application interne + serveur email (linux) tous ça dans la partie vlan interne
la partie camera il y'aura les DVR ... etc
le firewall ça dépend du budget (matériel ou logiciel )
un routeur pour la gestion des Vlans
par contre la DMZ je crois que je vais la garder (il y'aura une partie dont j'ai pas parlé c'est un serveur web destiné au site web de la société ) donc ca sera l'emplacement idéal d’après mes connaissances

Pour zimbra oui c'est sur linux.
Tu peux utiliser Outlook comme client IMAP/SMTP. Dans la version payante (mais non nécessaire) tu as un plugin MAPI.


Pour le serveur DNS effectivement tes applis interne, caméra, PC, etc... utilisent le DNS de ton AD.
Ma réflexion était juste pour le serveur DNS dans la DMZ ce n'est pas utile autant mettre directement le DNS Publique sur ton serveur dans la DMZ.
P.S: Surtout ne mets pas de DNS AD dans la DMZ hein !

[Invité]

P.S: Surtout ne mets pas de DNS AD dans la DMZ hein !