Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2012
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : janvier 2012
    Messages : 8
    Points : 6
    Points
    6

    Par défaut Conseil architecture reseau

    Bonjour,

    Dans le cadre de ma formation je dois rendre un tp réseau dont l'énoncé est le suivant :
    1 siège avec 20 employés, serveur web, serveur messagerie, serveur réservé accessible par seulement 4 personnes, accès internet.
    1 agence avec 10 employés qui accèdent a internet en passant par le siège.

    Voici ce que je penses faire, pouvez vous me dire si cela vous semble correcte?

    Au siège :
    VLAN 1 comprenant réseau employés sur 192.168.1.0
    VLAN 2 avec serveur de réservé sur 192.168.2.0
    DMZ avec serveur web et messagerie.

    Agence :
    dans le VLAN 1 sur 192.168.3.0

    Lien entre agence et siège via MPLS.

    Ci-joint un schéma simplifié de l'infrastructure :



    Question, comment isoler le serveur réservé et ses utilisateurs sachant que ces derniers doivent pouvoir accéder à internet ?

  2. #2
    Membre éclairé

    Homme Profil pro
    Architecte réseau
    Inscrit en
    avril 2018
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : avril 2018
    Messages : 389
    Points : 877
    Points
    877
    Billets dans le blog
    1

    Par défaut

    Salut,

    c'est un bon début...

    Pourquoi tu n'intègres pas un firewall dans cette architecture ?

    -VX

  3. #3
    Membre éclairé

    Homme Profil pro
    Architecte réseau
    Inscrit en
    avril 2018
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : avril 2018
    Messages : 389
    Points : 877
    Points
    877
    Billets dans le blog
    1

    Par défaut

    Citation Envoyé par vxlan.is.top Voir le message
    Salut,

    c'est un bon début...

    Pourquoi tu n'intègres pas un firewall dans cette architecture ?

    -VX

    Opsss..
    Je n'avais pas vu le firewall à droite, ignores mon message

    -VX

  4. #4
    Membre éclairé

    Homme Profil pro
    Architecte réseau
    Inscrit en
    avril 2018
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : avril 2018
    Messages : 389
    Points : 877
    Points
    877
    Billets dans le blog
    1

    Par défaut

    Voilà comment tu pourrais faire pour l'infra du siège:

    Nom : siege.jpg
Affichages : 76
Taille : 26,1 Ko

    Finalement, tu n'as pas besoin que de 2 points de routage pour ton réseau interne.
    Un seul routeur L2/L3 te permettra de connecter le serveur isolé et le VLAN des utilisateurs.
    En passant, j'en profite pour rappeler qu'il faut bannir le VLAN1... Chez beaucoup d'équipementiers, c'est le VLAN par défaut et le VLAN natif pour les trunk 802.1q, c'est donc une surface d'attaque très facile pour le hacking couches basses...

    Concernant l'accès au serveur réservé, les routeurs "standards" du marché permettent de créer des access-lists. Tu peux donc définir des access-lists sur le routeur pour n'autoriser que les 4 utilisateurs à y accéder. Mais c'est limité aux IP... Ce genre de verrouillage se fait généralement au niveau des droits d'accès au serveur lors de l'authentification.

    Venons-en à l'agence distante...
    Je vois que tu as connecté son accès MPLS directement sur le coeur de réseau. Saches qu'on "truste" de moins en moins ce type d'accès, même s'ils sont sensés être de type "L3 VPN privés". La tendance actuelle est plutôt d'accoster ce type de lien externe dans une DMZ.
    Au final, voilà ce que donnerait l'infra:

    Nom : final.jpg
Affichages : 75
Taille : 38,2 Ko

    -VX

  5. #5
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2012
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : janvier 2012
    Messages : 8
    Points : 6
    Points
    6

    Par défaut

    Bonjour,

    Merci beaucoup pour tes réponses.

    Je me permets de te demander quelques précisions.

    VLAN1 = vlan par défaut : j'en conclu qu'il ne faut en aucun cas laisser un quelconque port dans ce VLAN en production?

    Serveur réservé : à la base mon idée était de les séparer par vlan pour éviter qu'un poste qui modifie sa config ip se retrouve dans le sous-réseau "réservé" et par sous-réseau, avec un routeur permettant de relier les deux sous-réseaux afin de permettre l'accès à internet au sous-réseau "réservé". Cependant on est bien d'accord qu'a part en configurant les routes à la main, à partir du moment ou on utilise RIPv2 ou OSPF, les routes vert mon sous-réseau "réservé" seront connues par les autres machines du réseau et donc le sous-réseau accessible?

    MPLS dans la DMZ ça ok je te remercie pour la précision, valable des deux cotés du tunnel MPLS je suppose. Quels sont les risques de ce type d'accès MPLS?

    Autre question, tu as séparé dans ton schéma les deux serveurs mail et web dans deux sous-réseaux, c'est une "best practice"? Est-ce toujours conseillé?

  6. #6
    Membre éclairé

    Homme Profil pro
    Architecte réseau
    Inscrit en
    avril 2018
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : avril 2018
    Messages : 389
    Points : 877
    Points
    877
    Billets dans le blog
    1

    Par défaut

    Citation Envoyé par Tothemax Voir le message
    VLAN1 = vlan par défaut : j'en conclu qu'il ne faut en aucun cas laisser un quelconque port dans ce VLAN en production?
    Oui. Parce que si tu utilises le VLAN1, il suffira de simplement connecter physiquement une machine sur un port du switch non configuré pour avoir des chances d'être inséré sur le réseau.


    Citation Envoyé par Tothemax Voir le message
    Serveur réservé : à la base mon idée était de les séparer par vlan pour éviter qu'un poste qui modifie sa config ip se retrouve dans le sous-réseau "réservé" et par sous-réseau, avec un routeur permettant de relier les deux sous-réseaux afin de permettre l'accès à internet au sous-réseau "réservé".
    Déjà, d'autant plus qu'on parle du siège, on évite de mélanger les serviettes et les torchons et on déploie les serveurs internes dans des VLAN distincts de ceux des utilisateurs. Ensuite, à partir du moment qu'on utilise 2 VLANs distincts, si tu changes l'adresse IP d'un PC, il perdra toute connectivité au réseau parce que son port est configuré pour utiliser un seul VLAN.

    Et comme je suggérais, le verrouillage fin pour accéder à ce serveur se fait généralement au niveau des couches systèmes. Ce sont donc les Admin Systèmes qui vont configurer des policies en indiquant explicitement que seuls les utilisateurs 1, 2, 3 & 4 peuvent y accéder.

    Citation Envoyé par Tothemax Voir le message
    Cependant on est bien d'accord qu'a part en configurant les routes à la main, à partir du moment ou on utilise RIPv2 ou OSPF, les routes vert mon sous-réseau "réservé" seront connues par les autres machines du réseau et donc le sous-réseau accessible?
    Dans ce design, on pourrait effectivement implémenter du routage dynamique entre le coeur de réseau et le firewall. Mais ça aurait peu d'intérêts...

    Parce qu'il suffirait de configurer:
    - sur le firewall une route statique 10.0.0.0/8 pointant sur le coeur de réseau,
    - sur le coeur de réseau la default route 0/0 pointant sur le firewall.

    Citation Envoyé par Tothemax Voir le message
    MPLS dans la DMZ ça ok je te remercie pour la précision, valable des deux cotés du tunnel MPLS je suppose. Quels sont les risques de ce type d'accès MPLS?
    S'il y a un firewall côté site distant, oui, c'est recommandé...

    Citation Envoyé par Tothemax Voir le message
    Quels sont les risques de ce type d'accès MPLS?
    Le "L2/L3 VPN" sur MPLS fourni par un opérateur n'implémente aucun mécanisme de sécurité, la norme MPLS est partie du principe que ça doit être à l'initiative du client final (MPLS a été créé pour switcher des labels, pas pour router des paquets IP). Ce qui n'est pas le cas d'un tunnel IPSec, autre exemple d'un "L2/L3 VPN" parce qu'il encrypte les données.

    Le principe à retenir, c'est qu'à partir du moment qu'on connecte physiquement un lien externe sur une infra, c'est une menace potentielle. Quoi qu'en disent ceux qui l'ont vendu...

    Citation Envoyé par Tothemax Voir le message
    Autre question, tu as séparé dans ton schéma les deux serveurs mail et web dans deux sous-réseaux, c'est une "best practice"? Est-ce toujours conseillé?
    Réponse de normand, ça dépend...
    Dans une petite infra comme celle-ci, non c'est pas obligatoire... Quoique... Si ce Web génère 10M€ d'Euros de business par mois, j'aurais tendance à l'isoler...

    Par contre, si tu remplaces ton serveur Web par une batterie de 10 serveurs Web avec du load-balancing, on aura tendance à isoler cette infra...

    -VX

  7. #7
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2012
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : janvier 2012
    Messages : 8
    Points : 6
    Points
    6

    Par défaut

    Bonsoir,

    Je viens à nouveau demandé conseil suite à une évolution de ce tp.

    Deux agences distantes avec 10 employés, 1 serveur de fichier, 1 imprimante.

    Siège avec 50 employés, serveur web, serveur mail, serveur paie. Le serveur paie doit être sécurisé et accessible par 3 employés identifiés. Les agences accèdent à internet par le siège.

    L’opérateur d’accès Internet a attribué pour interconnecter l’entreprise la classe d’adresses publiques suivantes : 195.146.212.248/29

    Questions (avec mes réponses en bleu) :
    1) Identifier les différents segments de réseau
    Agence 1 : Réseau employés
    Agence 2 : Réseau employés
    Siège : Réseau employés, DMZ (serveur web vitrine et serveur messagerie), réseau paie, réseau interco entre routeur du siège et firewall?


    2) Identifier les équipements de réseau et de sécurité à utiliser
    Siège : Switch, routeur, firewall
    Agence : 1 switch et 1 routeur par agence


    3) Déterminer le nombre d’adresses nécessaires pour chacun des segments et faire
    le plan d’adressage. Réaliser le plan de translation NAT (Network Adress
    Translation) et PAT (Port Adress Translation) pour les transformations entrantes
    et sortantes adresses publiques/adresses privée.
    Mon plan d'adressage est le suivant :
    Réseau employés agence 1 : 172.18.3.0/24 (24 adresses nécessaires)
    Réseau employés agence 2 : 172.18.4.0/24 (24 adresses nécessaires)
    Réseau employés siège : 172.18.1.0/24 (55 adresses nécessaires)
    Réseau paie siège : 172.18.2.0/24 (5 adresses nécessaires)
    DMZ (serveur web vitrine et serveur messagerie) : 172.18.10.0/24 (3 adresses nécessaires)
    Interco routeur siege / FW : 172.18.9.0/30 (2 adresses nécessaires)

    Pour le reste j'avoue que je sèche un peu. Est-ce que règle de NAT = route?


    4) Modéliser sous Packet Tracer ce réseau :
    Voila en gros ou j'en suis sou PT :


    Je me pose plusieurs questions notamment :
    - Comment interconnecter les différents sites?
    - Comment utiliser les ip publiques fournies?
    - Comment intégrer la DMZ et paramétrer les interface du FW. Faut-il attribuer une ip aux interface du FW et au serveur dans le même sous-réseau? Je dirais que oui mais dans le doute ...
    - Comment configurer le lien entre le FW et le routeur du siège?

    Vous remerciant par avance.

Discussions similaires

  1. conseil d'architecture reseau
    Par Cyrano.B dans le forum Architecture
    Réponses: 21
    Dernier message: 03/03/2015, 20h51
  2. Conseil architecture reseau pme
    Par monmien dans le forum Hardware
    Réponses: 2
    Dernier message: 30/05/2013, 10h26
  3. [CRX] Conseil architecture
    Par luis92 dans le forum SAP Crystal Reports
    Réponses: 0
    Dernier message: 07/04/2008, 18h12
  4. Réponses: 3
    Dernier message: 18/03/2008, 09h45
  5. Architecture réseau client/serveur
    Par youp_db dans le forum Algorithmes et structures de données
    Réponses: 1
    Dernier message: 28/08/2006, 19h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo