Reprise du message précédent :
ça serait bien si tu le retrouves.merci

Ok merci
ça date d'un an donc je pense que les matériels ont évolué et les prix aussi.
 
A+

Le problème des portables et des nomades rentre bien dans le cadre des deux protections dont j'ai parlé.
1) Un client de sécurité local (Symantec ou Trend OfficeScan > v5.58) ou tu imposes la configuration du firewall aux postes client ce qui fait que même chez eux ils sont protégé voire bloquer pour certaines tâches.
 
2) L'utilisation de VLAN et du protocle 802.1x. Avec les Vlan tu peux déjà faire un gros travail. La partie 802.1x couplé à un client rempli le rôle du .bat dont parle Touko69, puisque le client vérifie l'état de la machine.
(->Petoulachi : les cartes réseaux n'ont pas besoin de compatibilité, c'est implémenté sur les matériel réseaux exclusivement).
 
L'idée de forcer les employés à passer pa la boîte pour aller sur le net, c'est aussi très bien. C'est un peu à l'image de ce qu'on peut faire en VPN opérateur. Mais il faut voir du côté de tes débits en upload et des capacités de ta passerelle. Le nombre de VPN simultanés est souvent limité au regard des besoins de chiffrement ipsec ou ssl.  
Après il faut bien blinder l'accès VPN.
 
 
 
 

Concernant l'utilisation des VLANs, j'aimerai avoir des précisions. En quoi permet-il de controler les portables ? Certes, on peut leur empecher l'accès à certains serveurs, mais il va bien falloir qu'ils soient qd même reliés au controleur de domaine non ? Du coup, ils peuvent alors par le voisinage réseau accéder aux autres postes de la boite (en passant par le DC comme intermédiaire).

L'isolation sur un valn se fait durant la phase de vérification de la conformité du psote à la politique de sécurité de l'entreprise.
 
Si le poste respecte cette politique et qu'il est clean, il est accepté sur le réseau de l'entreprise et peut accéder aux machines et au domaines.
 
Si le poste ne respecte pas cette politique, il passe sur un VLAN aux ressources limités (Serveur de mise à jour de correctifs et d'antivirus). Il y reste isoler tant que le pb n'est pas corriger. Tout cela se configure sur les matériels actifs et exige que l'antivirus de l'entreprise soit compatible avec le 802.1x. Dès lors un dialogue s'instaure entre les équipements réseaux et les serveurs.
 
Tant qu'un poste menace le réseau il n'a aucune raison d'y être. D'où son isolement. Après tout cela doit se faire avant le login. Après il faut approfondir le domaine des architectures à base de 802.1x.
De prime abord çà semble plus complexe que l'utilisation d'un IDS, mais dans le cadre d'une politique globale, çà trouve bien sa place.  
D'autant que comme tu l'as souligné dans le cadre de dématérialisation de données sensibles les règles à respecter sont draconiennes (Accès physique à la salle serveur, sauvegarde, traitement des sauvegardes, antivirus etc...)

C'est intéressant ce que tu dis là!Est-ce que tu l'as mis en place?
Ca doit être lourd à mettre en place ça non??
En fait on doit faire tout ça à partir du firewall??

Ok nickola maintenant je comprends mieu.
 
Par contre cela me semble difficile à mettre en place (pas vraiment au niveau de la complexité (et encore) mais plutot au niveau du matériel capable de faire ça. Je peux configurer les VLANs sur mon switch par une interface Web, mais après...
 
Et surtout la question qui me vient à l'esprit : qui fait la phase de vérification de la machine ? Car a priori, le mec arrive dans l'entreprise, branche son portable et est donc relié au LAN de l'entreprise... Ou bien tu crées un VLAN pour tous les postes fixes + serveurs, capable d'accueillir de nouvelles stations (lorsqu'un portable se branche et respecte la politique de sécurité).
Mais si on fait ça, comment aller sur le portable lorsqu'il se brnache pour vérifié, puisqu'il est situé sur un autre réseau ?

Non c'est en projet, donc j'ai déjà commencé à voir ce que j'allais faire pour déployer le système. Je pense utiliser des switch Cisco 3750.  
Le firewall ne joue aucun rôle dans cette architecture. Un matériel réseau qui gère le 802.1x permet une authentification des machines au niveau de chaque port du swith en collaboration avec un serveur Radius (contenu gratuitement dans Windows 2000 et 2003 server) et les serveur d'antivirus et de politique de sécurité. Si tu veux je pourrais te donner plus d'info ce soir, car làj'ai pas mes docs sous la main.
Concernant la lourdeur de mise en place, tout est relatif. Il faut avoir déjà un antivirus et des matériels réseau qui gèrent cela, puis mettre en oeuvre le serveur Radius. J'ai pas encore bouclé mon topo sur le sujet.  
Disons là encore que l'aide d'un intégrateur peut-être la bievenue. En effet, à moins d'avoir un Responsable Sécurité dans ta boîte ou avoir de très bonnes connaissances en la matière, un projet de sécurité n'est pas aisé à mettre en oeuvre seul. LA partie configuration des firewall et d'un IDS, de même que la réflexion pour établir une politique de sécurité globale n'est pas toujours facile à mener en solo. Le seul problème c'est le coût d'un intégrateur.

 
Perso je te le déconseille fortement, j'ai testé différents modèles (des petits genre 310 et des gros genre 5420) de la gamme SGS de Symantec, et avec c'est probleme sur probleme

-> Petoulachi : c'est le serveur RADIUS qui gère la partie authentification. Le reste ce gère avec l'élément actif du réseau. Toutefois la gestion de la norme 802.1x doit absolument être précisé dans le descriptif du matériel. En effet, il peut très bien gérer les Vlan sans gérer le 802.1x.
 
La prise en charge des Vlans doit se faire au niveau 3 du modèle OSI. De ce fait le switch ayant des fonctions de niveau 3 il doit pouvoir faire du routage. Du coup il sert d'intermédiaire entre les Vlans et le serveur de vérification.  
Il faudrait que je revois cette partie là de l'implémentation.  
Mais il doit y avoir 2 cas :
1) Dès qu'un poste se connecte, il est sur un Vlan de vérification, qui dispose d'un serveur apte à gérer cela. Si'il rempli les conditions, il est passé sur le Vlan d'exploitation. Sinon il passe sur Un Vlan de mise à jour.
2) Le switch sert d'intermédiaire et les seuls flux à transiter d'un vlan à l'autre sont les flux de contrôle de conformité avec la politique de sécurité. Par conséquent le traffic doit être autorisé que sur un (ou des) port(s) spécifique(s), servantà la vérificatin.
Mais je regardais plus précisément pour ne pas t'induire en erreur.
 
Il n'en reste pas moins que le procédé est très intéressant dans pour les nomades que pour la protection de réseau Wifi.

Pour les passerelles Symantec, je me rappel avoir lu, que niveau sécurité c'était pas si bien que çà, et qu'il avait profiter d'un créneau porteur pour diversifier leur activité.
Mais bon il faudrait avoir d'autre témoignage pour étayer le propos. Je regarderai.

 
Je parle meme pas niveau sécu hein, mais niveau faibilité de base, genre garder une connexion active plus de 2-3 heures sans la couper

Nickola:
 
Je comprends mieux et je suis d'accord pour + d'infos comme tu dis.
Sinon dans ma boite j'ai un reponsable mais pas en sécurité koi et je dois lui proposer une solution adéquate à nos besoins (étude comparative, rdv avec certains fournisseurs avec présentation de produite en démo etc..)
Voilà c'est mon premier gros projet en ces termes mais bon y a un début un tout, j'ai la méthodologie car jsuis des cours en alternance (Bac+4) et quelques idées de produits comme je le disais plus haut dans les messages (Watchguard et Netasq).
J'attends de tes nouvelles alors:merci
 
Merci aussi El Pollo Diablo pour tes infos mais ça confirme mes idées car c'est encore un truc à la con style Norton Security et autres produits du même genre.
 
A+

 
Ca n'a quand meme rien a voir avec la gamme nortont grand public non, c'est pas des gadgets, y'en a a + de 6000€
 

 
 
Si Norton ne font que des trucs à la con, je vous défi de faire du tord à mon serveur transgarp.dyndns.org    
 
Depuis 2001, personne n'y arrive

C'est pas qu'ils font que des trucs à la con, du moins j'ai pas dit çà, mais au niveau des appliances, ben ils se sont fait un peu épinglé.
 
Pour la gamme logiciels antivirus/Client securité là je dis pas. Pour les antivirus corporate çà cartonne assez bien, pour l'anti spam c'est pas top. Pour la protection de serveur Exchange rien à redire. Mais les appliances...
 
-> Touko69 : Je ne sais pas quel est ton budget globale, mais les fournisseurs ne seront pas forcément très enclin à te faire des démos si tu achètes une appliance à 1000 €. Enfin je suis peut-être un peu mauvaise langue mais...
Le seul truc c'est de raisonner en terme de politique globale de sécurité. Faut pas blinder un firewall à mort et négliger une autre partie faute de budget.
C'est généralement pas évident, car les contraintes budgétaire impactent directement un projet de sécurité et peuvent circonscrire tes choix à certaines solutions pas toujours adaptées.  
Tu fais de l'alternance pour quel diplôme ?

POur les demos il suffit de connaitre des mecs qui bossent dans ces boites revendeurs tout comme nous:et oui les connaissances, le piston c'est ce qui a de mieux!
Bref,en terme de budget mon responsable avait budgeté une certaine pour le budget 2005 mais je suis d'accord c'est un élément à ne pas négliger et qui peut faire basculer la balance mais bon il me dit de ne pas m'inquiéter sans me dire la somme...
Sinon je fais de l'alternance pour un Master Info niveau Bac+4 Maitrise au afit dans un centre de formation jusuq'à Juin et après j'espère bosser à plein temps!!!
 
Voilou!

Pour ce genre d'appliance faut aussi faire tres gaffe aux coups qui n'ont l'air de rien a 1ere vue : la garantie, le support technique, les majs de l'AV, les majs des différents modules etc...
Avec certains on a des surprises en 2eme année

Merci Nickola pour les précisions. Je vais me pencher sur la doc de mon switch savoir de quoi il est capable, mais j'ai de gros gros doutes sur sa capacité à pouvoir faire du routage et filtrage de flux
Concernant un intégrateur, c'est malheureusement impossible pour moi. Je suis le responsable de l'administration et de la sécurité de la boite, et je suis le seul. Donc c'est du solo powered

Attention pour le VLAN, beaucoup pour ne pas dire TOUS les switch actuels supportent les VLAN. Mais un switch supportant la norme n'est pas forcément capable de router (switch niveau 3)
 
Donc si on a pas de Switch niveau 3 dispo il faut router le traffic entre chaque VLAN (sous-réseaux IP différents) ... et pour router le traffic il faut des routeurs, et les routeur c'est beaucoup plus lent qu'un switch.  
 
Donc les VLAN c'est bien beau mais il faut le matériel adequate. Petoulachi, je doute que ton switch soit de niveau 3.

Après un rapide coup d'oeil a la page web d'administration du swith, il est capable de faire des VLAN par ports, ou des IEEE 802.1Q VLAN. Avec ce mode, je peux creer des VLAN Id, puis mettre des tags suivant les ports de mon switch ( Not member  - Tag egress packets - Untag egress packets).
Bon maintenant les VLANs c un peu loin comme souvenir, va falloir que je révise tout ça

SAlut,
 
Que pensez-vous des solutions Nokia/Checkpoint???
Quelqu'un peut-il m'expliquer ce qu'il font exactement??
 
Merci

ils font des firewall ??
en gros, c'est un firewall checkpoint, sur un OS Nokia ...
qu'est ce que tu veux savoir ?

c'est un firewall checkpoint sous forme de  boitier???est-ce que Nokia a une partie matériel???

moi g eu quelques pepins avec un netasq (un F200).
il plantait aléatoirement kand on pousse la config sur le FW.
pas top koi.
++

 
Bonjour, le post date deja depuis quelques temps mais bon ...j'en profite pour faire remonter ce petit topics fort sympatique...  
Je compte acquérir à moyen terme un Cisco pix 501 notament pour mettre en place une dmz permettant d'intergrer un outlook web acces et un citrx web acces.
Pensez vous qu'un Pix 501 soit assez suffisant ...? (tout en sachant que je travaille pour une PME : 80 personnes ...)
 
Par avance Merci !
 
 

www.cisco.com ..
j'ai pas mes cours sous la main, mais je pense que le 501 soit suffisant.
Par contre, voit avec ton reseller cisco ce qu'il en est des licence, parce que mes vagues souvenir de cette plateforme me font dire que par defaut il n'a que les interfaces inside et outside .. et que pour en mettre plus, il faut payer une autre licence ..

 
 
 
Tu me fais peur là, je viens d'en mettre un en place la semaine derniere  
Pour l'instant nickel, ca me change de ma vieille red hat  

 
 
Ok merci bien je me renseignerai auprés de mon revendeur lors de l'achat...
Car si il ne gere pas de DMZ je risquerai d'être à côté du projet que je veux mettre en place.  

N'ayant aucune compétance en administration de fire wall Pix ( au niveau des commandes cisco ) cela est il possible que je puisse l' integrer seul ou cela neccessitera une formation de ma part sur le produit pix  ou une assistance aupres d'une SSII ? ou cela est jouable car le systeme est virament intuitif ??? une doc est elle livrée d ailleur voir disponible qq part ? merci !

tu peux administrer assez simplement le pix avec leur interface grapfik pour commencer (Pix Device Manager) meme si c'est moins puissant que la CLI.
Ensuite, pour tout ce qui est doc, comme tout ce qui est cisco, cisco.com est une vraie mine d'or avec des white paper hyper complets ...

Euh y'a aussi la marque Sonicwall !!! Dans la série des TZ 150 ou 170

 
 
Slt, il me semble qu'un 501 ne possede que 2 interfaces (in et out) et est capable (à confirmer) de gere jusqu'à 10VPN  
=> pas moyen de faire un firewall "à 3 pattes" :  Out, In + DMZ.
 
 
=> ta config devra donc etre du genre :
 
Internet<=== Pix <====  DMZ  <==== Firewall <===== LAN
 
ou :
 
Internet<=== Firewall <====  DMZ  <==== Pix <===== LAN
 
 
Par contre meme il existe dans la meme gamme (des pix) des modeles integrent plusieurs interfaces.  
 
 
PS1: Les Pix encaissent très bien la charge.  
 
PS2: les Pix n'integrent pas d'IDS, ne sont pas capables de bloquer des flux p2p et qt à la QOS, elle est gérée de façon ridicule.
 
PS3 : le pb des licenses à payer si tu veux faire du VPN avec un cryptage avancé.

Merci  pour vos reponse,  
 
trictrac-> je vais aller faire un tout sur cisco.com et essayer de lire qq white papaer.. merci!
 
wonee-> je reste tres accroche a la techno cicso
 
Internet<=== Pix <====  DMZ  <==== Firewall <===== LAN  
 
ou :  
 
Internet<=== Firewall <====  DMZ  <==== Pix <===== LAN  
 
peux tu me preciser ca ...
sinon il n y pas moyen de faire de l ip aliasing avec deux interface reseau physique, histoire d avoir 3 interface reseau logique...?
 
Merci
 
 
vrobaina-> dsl je ne coomprends pas ta config  
 
 

dans le pire des cas, en fonction de tes besoin, prend un PIX qui a trois interfaces, et le prob est réglé ... mais ca sera pas celui d'entrée de gamme qui est fait pour les banchoffice ...
regarde du coté du 515e (de tete), mais le prix, ca risque de plus etre pareil ..