Discussion :

[Ced974974]

Bonjour à tous,

Nouveau sur ce forum, je vous remercie par avance pour votre aide.
Actuellement en cours de conception de réseaux, je souhaiterai une aide basée sur vos expériences pour les VLANS :

J'ai simplifié mon plan réseau pour mieux comprendre :
- 300 étudiants
- 20 administratifs
- cluster de serveur sous Hyper-V
- 2 AD
- 2 serveurs de fichiers (Etudiants et Administratifs)

- VLAN 10 : tous les serveurs virtuels
- VLAN 100 : Hyperviseur, Backup, Administration Switch NAS...

J'ai bien compris l'utilité des VLANS :
- QoS
- Limitation Broadcast
- diminuer surface d'attaque

1) Pensez-vous que l'architecture prévue correspond bien à ce qui se fait en entreprise ?
2) Je dois absolument isoler le serveur de fichier administratif : dois-je le mettre sur le VLAN 20 administration ou je le maintiens sur le VLAN10 (en maintenant la sécurité avec Active Directory)
3) Classiquement, sépare-t-on les hyperviseurs et matériels actifs (VLAN100) de la partie serveurs (VLAN10)

Un grand merci par avance

Tous les serveurs dans le même VLAN


Serveurs de fichiers dans VLAN dédiés

[Miistik]

Bonjour,

Un point me chiffonne.

J'ai l'impression que tu fais les choses à "l'envers".

Avant de penser VLANs, sécurité, routage et autres joyeusetés, qui sont des solutions techniques, il faut d'abord poser les bases fonctionnelles avec de simples questions.

Qui a besoin d’accéder à quoi et dans quel but ?
Quels services contiennent des infos importantes à sécuriser ?
Qui ne doit pas accéder à certains services ?
Avec ces réponses, on se base sur les bonnes pratiques et on pense solutions techniques.

Qu'en penses-tu ?

J'ai bien compris l'utilité des VLANS :
- QoS
- Limitation Broadcast
- diminuer surface d'attaque

Par rapport à ceci, quelques remarques :
- Qu'entends-tu par QoS avec les VLANs ?
La QoS existe en niveau 2 et niveau 3 et dépend des besoins.
Ce n'est pas explicitement lié aux VLANs.
- Limitation broadcast => Oui
- diminuer surfaces d'attaques => Oui puisque créer des VLANs revient à segmenter son réseau en réseaux plus petits.
- diminution de la taille de table ARP.
- "centralisation" du routage sur des équipements définis => plus de contrôle.

[Ced974974]

Effectivement je ne l'ai pas écris :

Etudiants :
- Accès à Active Directory (Intégration domaine, DNS, DHCP, GPO)
- Accès au serveur de fichier Etudiant uniquement
- Accès Internet (non évoqué dans ma demande)
- Accès serveur Antivirus (mise à jour des postes)


Administration : (utilisation d'une seule base d'annuaire pour les étudiants et l'administration, géré via des OU séparés)
- Accès à Active Directory (Intégration domaine, DNS, DHCP, GPO)
- Accès au serveur de fichier Administratif (l'idée est d'isoler au mieux ce serveur) + Serveur de fichier Etudiants
- Accès Internet (non évoqué dans ma demande)
- Accès serveur Antivirus (mise à jour des postes)

Matériel à sécuriser :
- En numéro un : le serveur de fichier Administration
- Active Directory
- Le réseau d'admin (hyperviseur, NAS de sauvegarde... VLAN 100)

J'espère avoir été plus clair et merci déjà pour votre 1er retour.

[Miistik]

Etudiants :
- Accès à Active Directory (Intégration domaine, DNS, DHCP, GPO)
- Accès au serveur de fichier Etudiant uniquement
- Accès Internet (non évoqué dans ma demande)
- Accès serveur Antivirus (mise à jour des postes)

Administration : (utilisation d'une seule base d'annuaire pour les étudiants et l'administration, géré via des OU séparés)
- Accès à Active Directory (Intégration domaine, DNS, DHCP, GPO)
- Accès au serveur de fichier Administratif (l'idée est d'isoler au mieux ce serveur) + Serveur de fichier Etudiants
- Accès Internet (non évoqué dans ma demande)
- Accès serveur Antivirus (mise à jour des postes)

Matériel à sécuriser :
- En numéro un : le serveur de fichier Administration
- Active Directory
- Le réseau d'admin (hyperviseur, NAS de sauvegarde... VLAN 100)

Ceci étant établi, on voit se dégager des flux réseaux.

Etudiants :
- Accès à Active Directory (Intégration domaine, DNS, DHCP, GPO) => flux vlan étudiants vers "outillage"
- Accès au serveur de fichier Etudiant uniquement => flux vlan étudiants vers serv fichier
- Accès Internet (non évoqué dans ma demande) => flux vlan étudiants vers FAI
- Accès serveur Antivirus (mise à jour des postes) => flux vlan étudiants vers "outillage"

Idem pour Administration.

Pour le serveur de fichier administration : OU séparés comme tu l'as dit
Tu as un seul serveur de fichier ou un pour les étudiants et pour l'administration ?
Si tu en as qu'un seul, gestion des droits d'accès.
Si tu en as deux, tu peux gérer cela via du filtrage réseaux et des droits spécifiques.

Pour l'AD, bien segmenter en OU et bien segmenter les droits dans plusieurs groupes d'accès.

Pour le réseau d'admin : OU dédiée, TACACS+ ou Radius, filtrage des accès aux services et filtrages des accès administrateurs.

[Ced974974]

Merci.

J'ai choisi l'option de partir sur 2 serveurs de fichiers pour augmenter la sécurité.
Dans ce cadre, pour améliorer la sécurité, est-il mieux de rattacher le serveur de fichiers de l'administration sur le VLAN de l'administration, soit le VLAN 20 (isolation améliorée) ?
Bien entendu ce serveur de fichier disposerait de droits de partage et NTFS appropriés en plus. (Aucun accès vers ce VLAN Administratif)

Merci par avance