Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1739 connectés 

  FORUM HardWare.fr
  Windows & Software

  [Sécurité] Hot Spot pour accès internet limité

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

[Sécurité] Hot Spot pour accès internet limité

n°2054125
tarimpa
Low low
Posté le 06-06-2005 à 16:33:51  profilanswer
 

Bonjour à tous,
 
Dans le cadre d'un stage, je dois créer un réseau WiFi qui permettra aux commerciaux de l'entreprise et de l'extérieur d'accéder à Internet.
Bien sûr, il ne faut pas non plus que ce réseau soit accessible par tout le monde (afin d'éviter de voir des squatteurs sur le parking de l'entreprise qui surfent aux frais de l'entreprise).
J'ai déjà regardé un peu partout sur le net pour voir ce qu'il était possible de faire, mais je ne sais pas quelle solution conviendrait le mieux.
Nous voulons au moins mettre du cryptage WPA avec un passphrase donné à ceux qui sont autorisés à accéder a Internet (bien entendu, il faudra le changer régulièrement).
Bien sûr, Le filtrage par adresses MAC est à exclure.
Nous comptons mettre un serveur DHCP pour fournir les @IP.
 
[:athome] à tous ceux qui vont participer à mon projet.
 


---------------
Mister Tarimpa
mood
Publicité
Posté le 06-06-2005 à 16:33:51  profilanswer
 

n°2054184
tarimpa
Low low
Posté le 06-06-2005 à 17:04:37  profilanswer
 

[:ass_kicker57]


---------------
Mister Tarimpa
n°2055095
tiduran
Posté le 07-06-2005 à 12:24:40  profilanswer
 

documente toi sur un serveur radius.. :)

n°2055098
wonee
Ben Chui SyMpA
Posté le 07-06-2005 à 12:26:55  profilanswer
 

Regarde les sonciwall TZ170 SP avec wifi. Ils font çà très bien.

n°2055107
tarimpa
Low low
Posté le 07-06-2005 à 12:30:49  profilanswer
 

tiduran a écrit :

documente toi sur un serveur radius.. :)


 
Je me suis déjà documenté dessus mais je me demande si c'est utile de se compliquer la vie avec ça. Y'a peut'être plus simple. A voir...
Pour le sonciwall, je regarde ça.
 
Merci les gars


---------------
Mister Tarimpa
n°2055228
jolebarjo
http://www.forum-citrix.com/
Posté le 07-06-2005 à 14:08:10  profilanswer
 

Ce que je te conseille :  
1  Isoler le réseau Wifi du LAN sur une DMZ. Et ce avec un firewall que ce soit du linux, un appliance.
2  Ensuite tu monte des tunnels VPN avec ce firewall.
 
C'est la solution la plus sécurisée.  
Tu n'as même plus a te prendre la tête avec du WPA ou WEP ou quoi que ce soit. Tout paquet visible sur le réseau wifi sera crypté.

n°2055229
wonee
Ben Chui SyMpA
Posté le 07-06-2005 à 14:09:04  profilanswer
 

jolebarjo a écrit :

Ce que je te conseille :  
1  Isoler le réseau Wifi du LAN sur une DMZ. Et ce avec un firewall que ce soit du linux, un appliance.
2  Ensuite tu monte des tunnels VPN avec ce firewall.
 
C'est la solution la plus sécurisée.  
Tu n'as même plus a te prendre la tête avec du WPA ou WEP ou quoi que ce soit. Tout paquet visible sur le réseau wifi sera crypté.


+1
Je lui est conseillé une appliance style sonicwall TZ170SP. Et le wifi en VPN


Message édité par wonee le 07-06-2005 à 14:09:20
n°2055255
jolebarjo
http://www.forum-citrix.com/
Posté le 07-06-2005 à 14:28:56  profilanswer
 

Il faut aussi penser à sécuriser tes postes clients.
Il existe des clients VPN qui intègrent un firewall (ZoneAlarm).
Il existe des boitiers qui correspondent à tes besoins.
Je te conseille le watchguard firebox edge wifi.
 
http://www.watchguard.com/products/edgex50w.asp
C'est une solution SOHO.
 
Ensuite tout dépend du budget.
Tu peut utiliser un firewall qui va directement taper dans un contrôleur de domaine (AD, LDAP).
Donc la il te faut un firewall plus costaud et une bon AP (Cisco).
 
Ensuite, il faut que tu gère les problème de roaming. Plusieurs antennes dans un même lieu.ETC ETC...
 
PS : C'est même pas drôle, ton stage il sert plus a rien.


Message édité par jolebarjo le 07-06-2005 à 14:37:31
n°2055361
tarimpa
Low low
Posté le 07-06-2005 à 15:37:14  profilanswer
 

T'inquiète pas mon gar, mon stage il sert, car j'en apprends pas mal avec toutes vos histoires, je me renseigne sur les solutions que vous me dites.


---------------
Mister Tarimpa
n°2056384
tarimpa
Low low
Posté le 08-06-2005 à 12:28:32  profilanswer
 

UP UP


---------------
Mister Tarimpa
mood
Publicité
Posté le 08-06-2005 à 12:28:32  profilanswer
 

n°2056386
wonee
Ben Chui SyMpA
Posté le 08-06-2005 à 12:30:05  profilanswer
 

alors t'as regardé ?
Sonicwall est à mon avis le moins cher.
mais sinon le principe est le même. La zone WLAN est isolé du LAN et l'autentification se fait en VPN.

n°2056472
tarimpa
Low low
Posté le 08-06-2005 à 13:38:05  profilanswer
 

Oui, j'ai regardé.
Mais avec mon maitre de stage, on pensait mettre en place un petit serveur DHCP qui fasse office de firewall, sur une vlan différente du réseau actuel (pour que le reste du réseau soit inaccessible). Le tout relié au routeur internet. Nous voulons aussi mettre un cryptage WPA-PSK, de désactiver le broadcast du SSID bien sûr.
Par contre, j'aimerais avoir un peu plus d'explications sur vos solutions avec un VPN. Je ne vois pas trop l'intérêt d'un VPN.
Merci à tous.


---------------
Mister Tarimpa
n°2056495
wonee
Ben Chui SyMpA
Posté le 08-06-2005 à 13:48:20  profilanswer
 

tarimpa a écrit :

Oui, j'ai regardé.
Mais avec mon maitre de stage, on pensait mettre en place un petit serveur DHCP qui fasse office de firewall, sur une vlan différente du réseau actuel (pour que le reste du réseau soit inaccessible). Le tout relié au routeur internet. Nous voulons aussi mettre un cryptage WPA-PSK, de désactiver le broadcast du SSID bien sûr.
Par contre, j'aimerais avoir un peu plus d'explications sur vos solutions avec un VPN. Je ne vois pas trop l'intérêt d'un VPN.
Merci à tous.


Et bien les cryptages pour le wifi sont trop facilement détournables donc le VPN est le mieux pour les clients wifis.
C'est pas en désactivant le SSID et en mettant du wpa-pask que ce sera bien sécurisé. çà c'est pour un particulier par pour du pro.
La solution vpn est à mon avis la mieus adapté par rapport à une solution avec serveur raduis.

n°2056809
tarimpa
Low low
Posté le 08-06-2005 à 16:52:58  profilanswer
 

Je voudrais savoir où se place le VPN dans le réseau ?
Entre le point d'accès et le client WiFi ?


---------------
Mister Tarimpa
n°2056814
wonee
Ben Chui SyMpA
Posté le 08-06-2005 à 16:56:17  profilanswer
 

Non c'est le firewall qui identifie le client vpn. et le point wifi peut être sur le firewall comme sur le lan.


Message édité par wonee le 08-06-2005 à 16:58:07
n°2056912
jolebarjo
http://www.forum-citrix.com/
Posté le 08-06-2005 à 17:57:04  profilanswer
 

ben si tu met ton point wifi sur le lan, les mecs du parking pourront acceder directement au LAN. Pas bonne cette solution.
 
Il faut un firewall qui fait serveur VPN.
Tu isole le Wifi du LAN par ce firewall.
ensuite tu établie du VPN entre le client wifi et le firewall.
 
Le VPN permet de s'abroger des cryptages WIFI qui sont moyennement sécurisés. De plus, avec cette solution je veux bien voir quelqu'un te pirater ou acceder à internet avec des SA qui change toutes les 5 mins.
Cependant, il faut absolument des firewalls sur les postes des commerciaux.
 
Schéma :
 
 
LAN----Firewall VPN-----AP Wifi
          |
      Internet
 
 
J'ai du mal à comprendre pourquoi un DHCP sur vlan fait office de firewall. Si tu veut que tes commerciaux en Wifi accèdent à Internet, il va bien falloir que ton Vlan DHCP communique avec un autre VLAN.


Message édité par jolebarjo le 08-06-2005 à 17:58:46
n°2057876
tarimpa
Low low
Posté le 09-06-2005 à 14:18:39  profilanswer
 

En fait, on va créer un nouveau VLan, de type 192.168.13.x
Voici un petit shéma, j'espère que vous arriverez a le comprendre car c'est pas évident a dessiner sur les forums.
 
                                Switch
Internet-----Routeur-----10
                     |             11
                     |             13-------------------APs
                     |                    |
                     |             Serveur DHCP
                     |                Firewall
                     |                    |
                      ---------------
A noter que le switch permet d'interdir au réseau 13 toute communication avec les autres (le 10 et  le 11).
Si vous avez des suggestions, modifiez mon semblant de shéma.
[:athome]


---------------
Mister Tarimpa
n°2057886
jolebarjo
http://www.forum-citrix.com/
Posté le 09-06-2005 à 14:29:48  profilanswer
 

C'est un routeur firewall??

n°2058002
tarimpa
Low low
Posté le 09-06-2005 à 16:18:57  profilanswer
 

Non, c'est un simple routeur fournis par le FAI (C'est un MCI).


Message édité par tarimpa le 09-06-2005 à 16:20:31

---------------
Mister Tarimpa
n°2058103
jolebarjo
http://www.forum-citrix.com/
Posté le 09-06-2005 à 17:45:53  profilanswer
 

c'est moyen ton architecture.
 
il te faudrait :  
 
 
internet--routeur---firewall----lan-----firewall----ap
 
ou
internet--routeur---firewall----lan
                           |
                           |
                       AP wifi


Message édité par jolebarjo le 09-06-2005 à 17:46:35
n°2058512
tarimpa
Low low
Posté le 10-06-2005 à 08:42:59  profilanswer
 

Pour ta première solution, je ne vois pas l'intérêt des deux firewalls, un seul suffit, non ?
Ta seconde solution est ni plus ni moins identique avec ce que j'ai mis au dessus.
A deux choses près, tu n'as pas représenté mes lans 10 et 11 ainsi que le DHCP.
Merci


---------------
Mister Tarimpa
n°2058553
joel_ejc
Posté le 10-06-2005 à 09:48:47  profilanswer
 

L'intérêt des 2 firewalls est d'avoir pour l'AP un filtrage de s connections (authentification) et de donner un accès à un nombre de ports plus limités que ceux utilisés dans le lan interne à la boite
le firewall d'internet protège le lan interne d'internet et le nombre de ports ouverts peut être différent de celui de l'AP voire de n'autoriser aucune connection externe.
SGDA

n°2058688
tarimpa
Low low
Posté le 10-06-2005 à 11:28:15  profilanswer
 

Ah ok
[:athome]


Message édité par tarimpa le 10-06-2005 à 11:29:50

---------------
Mister Tarimpa
n°2058894
jolebarjo
http://www.forum-citrix.com/
Posté le 10-06-2005 à 14:09:05  profilanswer
 

Pour moi l'interet de 2 firewalls peut venir si tu as des problèmes géographiques pour amener ton réseau Wifi jusqu'au firewall.
 
Sinon, un firewall type arkoon, watchguard peut très bien gerer des users venant de 2 interfaces différentes.
Un firewall digne de cenom peut gerer indifférement les flux venant de ses différentes interfaçes.
 
Je n'ai pas representé les vlans, car c'est juste des réseaux "physiquement" differents. Donc s'ils sont divisés par des FW cela n'as pas d'interet.


Message édité par jolebarjo le 10-06-2005 à 14:14:22
n°2061187
tarimpa
Low low
Posté le 13-06-2005 à 08:50:38  profilanswer
 

J'aurais aimé vous interroger une dernière fois, promis je vous laisse tranquille après.
A quoi sert le VPN dans un réseau WiFi ?
C'est juste pour crypter ?


---------------
Mister Tarimpa
n°2061205
wonee
Ben Chui SyMpA
Posté le 13-06-2005 à 09:18:24  profilanswer
 

tarimpa a écrit :

J'aurais aimé vous interroger une dernière fois, promis je vous laisse tranquille après.
A quoi sert le VPN dans un réseau WiFi ?
C'est juste pour crypter ?


C'est le moyen de s'autentifier et c'est bcp plus sur et fiable

n°2061391
tarimpa
Low low
Posté le 13-06-2005 à 12:02:58  profilanswer
 

OK Merci bien


---------------
Mister Tarimpa
n°2061398
joel_ejc
Posté le 13-06-2005 à 12:05:44  profilanswer
 

J'aurais dit que c'est plus du cryptage que de l'authentification.
SGDA

n°2061472
wonee
Ben Chui SyMpA
Posté le 13-06-2005 à 13:07:30  profilanswer
 

joel_ejc a écrit :

J'aurais dit que c'est plus du cryptage que de l'authentification.
SGDA


c'est les 2 !!!!!

n°2061479
joel_ejc
Posté le 13-06-2005 à 13:13:24  profilanswer
 

Je n'ai pas dit l'inverse
SGDA

n°2061481
wonee
Ben Chui SyMpA
Posté le 13-06-2005 à 13:14:08  profilanswer
 

joel_ejc a écrit :

Je n'ai pas dit l'inverse
SGDA


 [:tom18]

n°2061735
jolebarjo
http://www.forum-citrix.com/
Posté le 13-06-2005 à 16:04:36  profilanswer
 

Le processus d'authentification est aussi crypté.
Le VPN permet le AAA comme un cisco.
Authentification, Authorization et Accounting.

n°2061820
tarimpa
Low low
Posté le 13-06-2005 à 17:32:05  profilanswer
 

Une autre question à ceux qui connaissent un peu le RADIUS
Est-ce que toutes les cartes WiFi peuvent servir a s'authentifier sur un serveur RADIUS. Ou il faut des cartes spécifiques.
Merci d'avance


---------------
Mister Tarimpa
n°2062964
space monk​ey
Posté le 14-06-2005 à 16:30:27  profilanswer
 

Vous êtes sûrs que les VPN ne posent pas de problème pour les commerciaux extérieurs ? Il faut que le VPN soit configuré sur chaque poste, non ?
Il me semble que le truc qu'il lui faut c'est plus une passerelle hotspot...

n°2063007
tarimpa
Low low
Posté le 14-06-2005 à 16:48:13  profilanswer
 

Oui, tu as raison, avec le VPN, il faudrai faire une manip sur chaque poste. Ce n'est pas envisageable pour un partage d'internet avec des nouveaux postes chaque jour.


---------------
Mister Tarimpa
n°2063017
jolebarjo
http://www.forum-citrix.com/
Posté le 14-06-2005 à 16:54:07  profilanswer
 

Pour le VPN, c'est assez simple.
Il faut installer le client et fournir un fichier de préconfiguration

n°2063023
jolebarjo
http://www.forum-citrix.com/
Posté le 14-06-2005 à 16:56:37  profilanswer
 

Sinon tu peut regarder de ce coté la.
http://www.infogiciel.info/article0091.html.
et la aussi :  
http://www.publicip.net/zonecd/how.php
 
Mais tu n'auras pas de sécu entre les postes de ton wifi.


Message édité par jolebarjo le 14-06-2005 à 16:57:58
n°2063039
space monk​ey
Posté le 14-06-2005 à 17:02:27  profilanswer
 

jolebarjo a écrit :

Pour le VPN, c'est assez simple.
Il faut installer le client et fournir un fichier de préconfiguration


J'en suis pas sûr, mais je ne pense pas qu'il puisse se permettre de toucher aux postes utilisateurs, même pour une toute petite modif.
 
 
internet -- routeur/firewall -- lan
                   |
                   |-- passerelle hotspot -- APs
 
Nomadix pour la passerelle hotspot. ;)

n°2063069
jolebarjo
http://www.forum-citrix.com/
Posté le 14-06-2005 à 17:25:27  profilanswer
 

Nomadix c'est payant.
Il y a des solutions libres toutes prêtes.

n°2066056
tarimpa
Low low
Posté le 17-06-2005 à 10:29:55  profilanswer
 

Ok Merci
Sous linux suse enterprise server 9, j'ai configuré un DHCP.
J'aurais besoin de planifier ce DHCP pour qu'il se lance uniquement entre 8h et 20h du lundi au vendredi pour éviter que des gens essayent de se connecter le Week-End ou la nuit.
J'ai vu sur ce topic qu'il était possible de planifier une tâche : http://forum.hardware.fr/hardwaref [...] 1132-1.htm  
Est-ce que quelqu'un sait quel est le nom du processus du DHCP ?
Merci d'avance


---------------
Mister Tarimpa
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software

  [Sécurité] Hot Spot pour accès internet limité

 

Sujets relatifs
Problème de partage internetsecurite wifi
internet download manageravis club internet
Strategie securité bloquer seulement creation de fichiers[Club-Internet] Filtrage de ports (ssh,ftp) et icmp ?
acces internet en wifi (freebox) impossible depuis formatagepartage fichier impossible xp/98se ,pas trouve apres recherche
Besoin d'aide SVP pour une connexion internet récalcitrante 
Plus de sujets relatifs à : [Sécurité] Hot Spot pour accès internet limité


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR