 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Monter un réseau avec serveur + routeur + 50 postes | |
| Profil supprimé | Je profites du topik pour connaître vos impressions sur les fameux boitiers dédié FW à mettre entre le routeur et le switch, c'est facile d'utiliation, du moins plus "simplifié" qu'un FW soft installé sous un OS quelconque ? |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| Je profites du topik pour connaître vos impressions sur les fameux boitiers dédié FW à mettre entre le routeur et le switch, c'est facile d'utiliation, du moins plus "simplifié" qu'un FW soft installé sous un OS quelconque ? |
| CHOUM | Ne pas investir c'est une chose mais mettre en danger ta boite en est une autre!
Un cisco PIX 501 coute environ 700 et est très fiable et asser simple à mettre en oeuvre. Sinon un ptit routeur/FW ADSL peut faire l'affaire et la t'est entre 200 et 300, certain ont même un port pour la DMZ. Quasi tous savent natter tes addresses et intégrent un DHCP. Surtout si ton serveur de messagerie est un windows qui plus est avec exchange... en faire un serveur antiviral soit mais un FW... pas une bonne idée car les infos sont traitées par la couche IP de ton serveur avant d'arriver à ton FW donc asser simple à contourner et très simpel à faire tomber... Regarde le prix d'un FW soft et compare a celui d'un firewall matériel et tu verra que la différence est négligeable pour une sécu nettement plus importante... Edt: comme le dit R4ven si tu n'a pas de plage IP la DMZ ne sert à rien car tu n'a pas de machine publique. |
| r4ven | bonjour
Je pense qu'il manque pas mal d'information afin de pouvoir aider convenablement. D'après la configuration , le routeur FT (Oleane) est sur une liaison TurboDSL (type OPEN) et il n'est dit nul part qu'il y a un subnet de fourni par l'ISP. Aussi , le fait d'installer une DMZ ne sert strictement à rien , puisque depuis le NET , seul le routeur sera vu et pourra etre atteint. Un FW sur ce genre de config ne sert pas à proteger de l'exterieur , puisque çà ne filtrera pas les mails ou encore les requets HTTP. Il ne servira qu'à proteger le NET des machines du LAN (genre massmail bombing du à un virus recupéré dans un email , en filtrant tout accès au net sur le port 25 par exemple) , des access-list permettant de faire la meme chose sans problème. voili @+ David |
| Gaard28 | Pas mieux que Requin.
Pour l'anti virus, ca coute pas plus cher d'avoir une solution pro avec gestion centralisée et tout le toutim : faut compter 40eur par poste et par an ... |
| Requin | Bah si tu veux "bricoler" c'est tes oignons, j'espère juste ne jamais récupérer ton "boulot"...
Reste à négocier avec F-Secure une mise à jour de vos 50 licences clients car avec "F-Secure Anti-Virus Small Business Suite" qui est une version centralisée et réseau du logiciel (ce qui évite entre autres de télécharger 50x les mises à jours) tu as : - F-Secure Anti-Virus Client Security - antivirus and desktop firewall for workstations - F-Secure Anti-Virus for Windows Servers - antivirus for file servers - F-Secure Anti-Virus for Microsoft Exchange - antivirus for e-mail servers - F-Secure Policy Manager - central management Reste ensuite à mettre une petite machine avec IPCop entre ton réseau local et ton routeur. Ca demande peu d'entretien et s'administre via une interface Web. Ensuite monte le second serveur avec Exchange comme DC, celà fera une backup AD pour ton serveur de fichier et permettra à Exchange d'attaquer direct en local l'annuaire. Le serveur DHCP de Windows 2000 est très bien et remplacera avantageusement celui du routeur pour ton réseau local. Note tu peux laisser ton routeur faire serveur DHCP... il obtiendra tout simplement aucune demande de lease car elles seront bloquées par le firewall.
|
| gecko20120 |
|
| kissskoool | on a installe F-secure sur tous les postes....c etait horrible surtout sur les vieilles machines qui sont encore plus etouffees maintenant.
sinon le pb c est que je ne peux pas toucher a ce qui est installe c trop la galere... ils veulent juste que je monte una machine avec de pieces trouvees a droite a gauche...et que je leur monte un serveur de messagerie, un firewall et un proxy en plus il faut obligatoirement que le tout soit sous windows 2000 server avec microsoft exchange. Je suis oblige de garder le routeur materiel et le laisser gerer le dhcp. mon pb est vraiment ou mettre ce serveur dans le reseau?? (je reliste le materiel : routeur avec 5 ports, switch 50 ports) |
| Requin |
|
| gecko20120 |
|
| kissskoool | En ce moment toutes les machines sont connectees directement au net et on leur propre antivirus.
donc au moment des mises a jour antivirus ou recuperation des mails c le gros embouteillage sur le reseau... et en plus il n y a aucune verification des mails avant leur arrivee sur le reseau... Je voudrais pouvoir controler tout le traffic entrant ainsi que les mails est ce possible et quelle est la solution la plus simple?? |
| kissskoool | c est un peu le meme probleme pour moi...
la boite ou je bosse ne veux pas depenser d argent... Donc hors de question d acheter un firewall materiel ou autre ... De plus le pc qui servira de passerelle sera constitue d un PII 400 avec 392Mo de RAM est suffisant pour un parc de 50 postes??? |
| com21 | pour une PME avec 10 postes le firewall du routeur peut suffire... (pas besoin de firewall sur postes !!!!)
|
| gecko20120 | Bonjour à tous !
Je suis moi aussi dans le cas de kissskool mais à un niveau un peu plus faible : PME avec réseau 10 postes windows tous derrière MODEM ADSL/ROUTEUR + SWITCH. Au niveau sécu c'est assez limite (pas de firewall sur les postes...). Je souhaite installer un serveur qui fasse passerelle avec firewall + qqs services associés si besoin (pas de messagerie pour le moment)... Après qqs recherche j'ai installé le serveur avec Free-EOS (une ptite distrib linux spécialisée, surtt orientée éducation...). Donc ma question est la suivante : existerait-il des sites de référence parlant des solutions réseaux pour différents types de structures, différents budgets ?? Je dis ça parce que je ne suis pas un spécialiste, que les petites entreprises n'ont pas tt le tps les moyens de se payer des pros... et que moi, bah je galère un ptit peu :( PS : Si je suis trop hors sujet, je réouvrirai un fil à part :jap: |
| Requin | Si tu mets un FW sur le serveur de messagerie tu fais une bourde en terme de sécu... ce n'est pas pour autant que ce n'est pas réalisable.
Ton FW / proxy se doit être idéalement une machine indépendante de tout le reste de ton réseau, de sorte que si il tombe tu puisse espérer que seulement ton FW est affecté et non pas ce qui se trouve derrière, a fortiori ce qui tourne sur la même machine. Fait la simple supposition que j'arrive à contrôler ton firewall suite à un hack de ma part... si le serveur de messagerie est sur la même machine il y a de forte chance que je puisse lire tous les emais de ta boîte. Inversément suppose que j'arrive à envoyer un cheval de troie (fait sur mesure donc pas détecté par un AV) sur ton réseau, avec des relations d'approbation il se pourrait que je puisse modifier les réglages du firewall. Quant au serveur DHCP du routeur tu ferais mieux de t'en passer, en général les serveurs DHCP fournis sur les routeurs manquent de flexibilité par rapport au serveur DHCP tournant sous un OS (temps du bail non-modifiable, réservation d'IP impossible, opions DHCP manquantes, ...) et laisser passer les trames DHCP à travers le firewall (pour autant qu'il les relaie) me semble une invitation à l'IP Spoofing ;) Vu ton réseau (50 postes) et les besoins plus lié à du filtrage simple et de la prévention d'intrusions je partirais plutot sur un petit firewall tout fait dans son boitier prêt à l'emplois (SonicWALL, ZyWALL , ...) que tu placeras entre ton routeur et ton réseau. |
| kissskoool | ok donc au final je peut mettre mon firewall sur mon serveur de messagerie...
mais ce serveur je le met ou si je veux garder le service DHCP du routeur materiel??? |
| Requin | Gaard38 -> Un FW "soft" (ils le sont tous ;) ) nécessite par contre pas mal de maintenance et un suivi périodique des patchs qui sont disponibles pour lui.
Par ailleurs étant exposé à toutes les merdes qui traînent sur le net il faut être bien au clair sur son fonctionnement. |
| Gaard28 | Dans ce cas la, il faut (et il suffit) d'installer un FW soft sur le serveur de messagerie d'indiquer au serveur DHCP que la passerelle est l'adresse du serveur de messagerie (comme ca tout le trafic des postes clients passe par le srv de messagerie).
Ensuite il faut activer le routage sur le srv et paramétrer les règles routages qui vont bien ;) Tu peux faire ca avec le service de routage et accès distant de windows server ou alors avec le FW. Mais je pourrais pas te conseiller en matière de FW soft, j'y connais pas grand chose |
| Requin | Sépare ton firewall du serveur de messagerie...
Idéalement tu prends un firewall avec 3 interfaces (LAN, WAN, DMZ) et tu places ton serveur de messagerie dans la DMZ. Suivant tes impératifs de sécurité tu pourrais te permettre d'en prendre un avec seulement 2 interfaces et placer ton serveur de messagerie dans le LAN. Veille toutefois àé ce que seul le port SMTP (25) puisse passer en entrant ton firewall à destination du serveur de messagerie. Quant au serveur DHCP, passe le sur ton serveur de fichier (situé dans le LAN). Pour le firewall tu as principalement 3 choix : - utiliser du matériel déjà prêt à l'emplois en génréal il s'agit d'un boitier adminsitrable via une interface web. Le gros avantage c'est que celà nécessite quasiment aucune maintenance. L'inconvénient, peut manque un peu de souplesse. - Utiliser Linux, BSD ou autre OS en distrib spécialisée, une bonne solution pour recycler un PC standard et profiter de la souplesse d'un firewall efficace à moindre coût. - Utiliser des produits commerciaux : Checkpoint-FW1 ou ISA par exemple... mais la il faut déjà avoir des besoins autres qu'un simple filtrage de ports. |
| kissskoool | il nous manque un serveur de messagerie...et j aimerais bien effectivement que le traffic passe par un pc pour pouvoir le controler (ports, virus, ...)
est il possible d avoir tout ca?? merci pour ton aide gaard28 |
| kissskoool | en fait le serveur de fichiers est connecte au switch comme les autres pc |
| kissskoool | en fait pour l'instant on a :
internet -- routeur -- switch -- LAN | serveur de fichiers |
| Gaard28 | Ben la topologie du réseau type dans ton cas ca serait :
internet -- routeur -- FW -- LAN | srv de messagerie (DMZ) Bon maintenant, ca c'est de la théorie, on en fait ce qu'on veut. Mettre un FW soft sur ton srv de messagerie t'oblige a avoir le schéma suivant : internet -- routeur -- srv de messagerie (avec FW) -- LAN C'est à dire que tout ton traffic internet va passer par ton srv de messagerie avec tous les problèmes que ca pose. |
| kissskoool | cad n importe koi???
moi j aimerais que mon serveur et microsoft exchange d'installe et un firewall pour fermer quelques ports... |
| Gaard28 | mettre le FW sur le srv de messagerie c un peu du nimporte quoi ... |
| kissskoool | up please... |
| kissskoool | Bonjour, A tous les pros du reseau...g une question : J ai pour mission de restructurer le reseau d'une entreprise. Pour l'instant il y a une connexion ADSL branchee a un routeur materiel branche à un switch 50 ports manageable. Le routeur fait office de serveur DHCP Je dois installer un serveur de messagerie qui fasse en plus firewall. Ou je dois mettre ce serveur dans le reseau?? entre l'ADSL et le routeur?? entre le routeur et le switch??? Merci pour votre aide... :jap: |
