Bonjour,  
 
Je m'occupe de l'administration d'une petite structure (mairie) composé d'un serveur NAS, de 6 postes sous Windows XP, d'un photocopieur et d'un routeur internet.  
Je souhaite pouvoir proposer à un visiteur (association) une connexion au réseau pour l'accès à internet tout en interdisant l'accès aux PC, NAS et photocopieur.  
 
Q1 : Pensez-vous que la mise en place d'une solution VLAN soit une solution fiable.  
Q2 : La solution VLAN est elle très sécurisée. Quid en cas d'insertion d'un PC visiteur bourré de virus ? Le Pc visiteur peut-il sniffer le réseau et trouver les adresses MAC ou IP des postes du réseau ?  
Q3 : Existe-il un proxy où les utilisateurs doivent s'identifier pour surfer (un peu comme les hôtels) afin de les responsabiliser dans l'utilisation qu'ils en font. Je ne sais pas si même il est possible d'historiser leurs utilisations en cas de demande des autorités compétentes.  
Q4 : Quel matériel et logiciels seraient le plus adapté.  
 
Merci pour vos réponses.  
 
Pascal

1: oui, si tu as les connaissances/compétence + matériel
2: oui, très sécurisé. un PC ne peut sniffer que dans son vlan, en gros.
3: oui, chilli project par exemple. Sinon, openwrt et autres font ca en natif. Regarde peut etre aussi pfsense2.
4: switch vlan compliant. Routeur .. dépend de ton choix.

Un coup de Cisco 3550 chez un broker ça doit pas couter des fortunes pour la partie switch L3...

Merci trictrac.  
Pour le point 3 je vais me renseigner.
Pour le VLAN j'ai trouvé un Switch administrable NETGEAR GS716T-200EUS à env. 150€. Il semble être compatible avec mon serveur NAS readyNAS pro 2 RNDP2000-100EUS ce qui me permettrait en plus d'améliorer les accès serveur.
Tu connais ce produit ? Quelqu'un le connait-il ?
Pascal

 
Ok merci, je viens de regarder mais je ne pense pas trouver moins cher que le Netgear. Cisco est plus pro mais nous sommes une toute petite structure.
Je n'ai même pas 10 prises à brasser...
Je vais quand même demander au boulot combien ils les achètent.

bah disons que l'avantage de cisco, c'est que si tu as un problème, tu trouveras toujours un presta qui connaitras (c'est le standard du marché).
 
Un 3550 24 ports je pense pas que ce soit beaucoup plus cher que ton netgear.

C'est certain qu'il ne faut perdre de vu ce point surtout à quelques euros d'écart.

Bonsoir
 
Un Switch administrable n'est pas une sécurité réseau à mon avis, un VLAN n'offre aucune sécurité, juste une meilleur administration de réseau et une réduction du trafic.
 
Pour plus de sécurité à mon avis un Routeur/Firwall ou un Firewall.
 
Regarde (ICI) sur ce site.  
 
•Un VLAN de niveau 1 (aussi appelés VLAN par port)
 
•Un VLAN de niveau 2 (également appelé VLAN MAC)
 
•Un VLAN de niveau 3  
 
- Le VLAN par sous réseau
 
- Le VLAN par protocole
 
Les avantages du VLAN
 
Le VLAN permet de définir un nouveau réseau au-dessus du réseau physique et à ce titre offre les avantages suivants :
 
 •Plus de souplesse pour l'administration et les modifications du réseau car toute l'architecture peut être modifiée par simple paramétrage des commutateurs
 
 •Gain en sécurité car les informations sont encapsulées dans un niveau supplémentaire et éventuellement analysées
 
 •Réduction de la diffusion du trafic sur le réseau

Merci pour ton intervention JML19.
Peux tu approfondir dans ton propos : "Un Switch administrable n'est pas une sécurité réseau à mon avis, un VLAN n'offre aucune sécurité".
Par rapport à ma Q2, y a t-il un risque Majeur ?  
 
Je n'y connais pas grand chose aux VLAN mais j'ai essayé d'imaginer la configuration suivante :
VLAN1 : Mairie : Tous les postes de travail Mairie, serveur NAS, Imprimante Photocopieur
VLAN2 : Public : Postes non connues des associations
VLAN3 : Routeur Internet
 
Je permets au VLAN1 de voir le VLAN3, et au VLAN2 de voir le VLAN3.
 
Pascal
 
Edit : Je ne sais pas encore si je défini les VLAN par ports ou par adresses MAC.  
J'ai la sensation que VLAN par ports a moins de risque de fuir que par adresse MAC ?

du vlan ça se fait par port. Y a bien eu des solutions de VLANs par adresse mac (je ne connais que le cisco VMPS) mais c'est assez inexploitable.
 
Du vlan c'est pas de la sécurité mais du cloisonnement de domaine de broadcast.
 
Après tes VLANs tu les routes et tu fais une petite access-list pour filtrer.

un vlan n'est pas de la sécu en soi, certes. Mais un vlan permet de virtualiser un équipements, pour creer des réseau isolés.
en suite, c'est ce que tu en fait, et comment tu gérera le traffric via un routeur ou un firewall qui fera ta sécurité.
 
Ralala .. le mythe du vlan layer 3 .... pourquoi dès qu'on parle vlan il y a toujours un spécialiste pour en parler ???

Je pense que si autant de gens en parlent, c'est qu'il y a bien du y avoir au moins un constructeur qui a supporté ce truc là un jour
 
Par contre je me demande ce qu'il se passe si la machine cliente est en DHCP

Le pb vient surtout de tous ces sites à la con qui en parlent
 
Pour moi le "vlan layer 3" c'est plus pour séparer IP d'IPx, d'IPv6 and co que sur l'adresse IP. Après peut etre je me plante

ben ouais mais tu peux même pas séparer IPv4 d'IPv6 puisque le champ protocole au niveau d'ethernet c'est "ip". Après faut aller regarder dans l'en-tête IP pour avoir la version
 
Mais dans ce cas là ça veut dire que toutes les machines IPv4 sont dans un seul vlan ? lol et les requêtes ARP elles deviennent quoi ?
 
bref c'est un non sens, je suppose qu'on peut bien trouver un ou deux use cases bien tordus mais bof

Je vous remercie pour vos contributions mais je suis un peu noyé dans tous cela. Moi y en a pas être un spécialiste de trames IP.  
 
Je vous rappelle le contexte : Une petite commune sans moyen et encore moins sans administrateur informatique possède quelques PC en réseau. La protection entrante se fait via le parefeu du routeur ADSL et la protection interne via un antivirus et parefeu sur chaque poste. Ce n’est pas ce qu'il existe de plus sécurisé mais c’est déjà un minimum. Nous ne sommes pas non plus le ministère de l’intérieur.  Nous considérons que pour l’instant cette protection est suffisante.
 
Aujourd’hui nous n’autorisons pas les associations à se connecter à notre réseau. Les prises réseau des salles de réunion ne sont pas brassées.
L’idée est de les brasser pour leur donner accès à internet mais pas au réseau interne.  
 
De là 2 solutions :  
Essayer de se débrouiller tout seul avec un minimum de connaissance mais sans faire du grand n’importe quoi (c’est l’objet de ce topic).  
Ou bien faire appel à un professionnel avec une solution sécurisé (et encore faudrait évaluer les solutions proposées).  
Mais je crains que si la deuxième solution est nécessaire c’est qu’aucune des premières solutions ne sont acceptables et le cout de l’étude et réalisation dépassera le budget possible (c'est-à-dire le minimum) et du coup on ne fera rien et pas d’internet pour les assos.

Vas t'acheter un cisco 3550 tu fais 3 vlans dessus (interne, invités, internet)
 
y a juste une route par défaut à mettre et une access list de 2 lignes pour empêcher les invités de causer avec le réseau interne.
 
Je pense que chez un broker ça doit coûter 300€, par contre faut connaître quelqu'un qui sache le configurer.

Salut, pama35, je crois que tu est comme beaucoup d'entre nous ici, tu aime ton métier et ce que tu fait, et comme beaucoup dan le secteur public, tu dispose d'un budget de zero radis ! (Oui si c'est un budget ! Zero est bien un nombre ? Et en compta ? Nan Si ? Bah vous voyez bien )
 
Souviens toi juste d'une chose, le jour ou quelque chose iras de travers, tout le monde vas chercher un responsable, en l'occurrence toi !  
C'est tout le temps comme ca que ca se passe, crois moi. C'est la théorie de la cartouche à mettre au N-1 ! Faut pas se voiler la face.
 
Passe par un prestataire, ne t'embête pas avec ca, humainement je sais que c'est difficile à vivre, de se dire mais ca, mais bon sang, je peux le faire, si seulement... (raison x ou y à mettre ici + facteur pognon).
Quand ils verront la note, ca les feras réfléchir, ca te permettras peux être de te valoriser (oui parfois certains n'ont pas que du caca dans les yeux) à savoir niveau compétences, que pour toi c'est possible si (reprendre les raisons x ou y au dessus, et parfois ca permet même de débloquer le facteur pognon!).
Si politiquement parlant (oui on est dans le public je vous rappel, ici c'est comme dans la cour de récré, mais en pire), il n'y à pas la volonté de le faire, t'auras beau proposer une solution "qui déchire", quine  coute rien que même quelqu'un de pas formé peut utiliser, bah je te fait pas un dessin.... tu sais comme moi comment ca se passe...
 
Dis toi bien, que vu aussi que comme tu vas proposer un accès internet à un ou plusieurs individus, tu est légalement tenu de conserver les logs des sites, d'identifier qui à fait quoi et quand. Et là, même remarque qu'au dessus mais en pire.
 
A bon entendeur...

Merci Cerbere999, l'avantage du budget zéro c'est qu'il peut être multipliée l'année suivante sans que cela augmente le budget    
 
Le dernier point que tu évoques (ma question 3) est je crois bien le plus délicat à mettre en œuvre. Frontière entre l'obligation de contrôler ce qui est fait et libertés individuelles.
Concernant la question du responsable, je suis analyste programmeur de métier mais bénévole au sein du conseil municipal. Le responsable est en réalité le Maire. Il me reste à le convaincre lui et les élus que cette dépense pour peut-être 2 ou 3 assos est utile... Pas facile...

Bonsoir
 
Regarde ICI une idée de sécurité de réseau en DHCP avec un accès Internet.