Bonjour,
 
Depuis quelques jours, je cherche des informations et/ou des conseils afin de sécuriser mon infrastructure chez moi.
 
Je suis pas un spécialiste réseau, mon domaine de compétence s'arrête aux outils collaboratifs, certaines questions vont certainement me faire passer pour un débutant et je m'en excuse.
 
Aujourd'hui, j'ai une Freebox révolution en VDSL (3Mo/s max) avec IP fixe, et "grosso-modo" tout est branché dessus (soit à travers du CPL, du RJ45 ou encore en wifi).
 
Pour mon travail, j'ai besoin de différents serveurs pour de la virtualisation (en cours d'achat); c'est la raison de ma réflexion sur la sécurité/séparation entre les parties professionnelle et personnelle.
 
Pour information, voici une liste de mes périphériques :
 
- 2 serveurs  
- baie serveur 48 unités (autre projet pour plus tard)
- NAS
- Freebox ainsi que la Freebox TV
- TV connectée
- pc xbmc
- téléphones portables
- tablettes
- imprimantes
- ordinateurs portables
- mon PC admin
- caméras IP
- alarme
- et qui sait, peut être d'autres plus tard.
 
Mes sujets de réflexions :
 
- séparer l’infrastructure personnelle et professionnelle (les deux auront accès à internet).
- les deux parties seront visible que par mon PC admin    
- mise ne place d'un VPN
- mise en place d'un firewall
- mise ne place d'un filtrage d’URL (c'est pas une priorité mais mes enfants grandissent)
- faire avec mes possibilités financières qui ne sont pas celles d'un footballeur    
- mettre une solution en place qui ne soit pas trop usine à gaz.
 
 
J'ai donc plusieurs problématique :
 
- il faut tout câbler, donc achat de switch administrable (pour les VLAN), je pensais prendre 2 switch de 24 ports histoire de faire de la haute disponibilité.
 
-> 1° question : il me faut du switch L2 pour faire du VLAN, par contre aucun VLAN ne communiquera ?
-> 2° question : pour faire communiquer mes VLAN, il me faut absolument un router ?
 
- Pour la partie firewall, j'ai lu plusieurs articles sur pfsense avec mini pc embarqué comme les APU (plus puissant que les Alix)
 
-> 3° question : pfsense semble faire du routage, cependant il risque d'être mon goulot d'étranglement si tout passe par lui ?
-> 4° question : avez vous des alternatives qui puissent supporté un réseau 1 Ghz voir plus tard 10 Ghz (on sait jamais) ?
-> 5° question : sinon un collègue m'a conseillé de virtualiser pfsense sur un de mes serveurs, mais j'ai beaucoup de mal au niveau réseau d'imaginer ce système, quand pensez vous ?
 
- Je pensais faire plusieurs VLAN :
 
Un VLAN admin, avec mon PC
Un VLAN pro avec les serveurs
Un VLAN perso (NAS, imprimante, Freebox ainsi que la Freebox TV, TV connectée, pc xbmc, ordinateurs portables, caméras IP, alarme)
 
-> 6° question : quid des périphériques nomades qui sont connectés en wifi sur le Freebox (téléphones portables et tablettes), ) là c'est le vague.
 
Comme vous pouvez le voir, j'en suis au début, je pense que je ne dois pas être le seul à avoir/vouloir ce genre d'infrastructure sans budget illimité.
 
J'ai beaucoup d'autres questions, mais j'aimerais d'abord éclaircir ces points afin dé résoudre mes problèmes/questions par étape.
 
Merci d'avance pour votre lecture    
 
 
 
 
 
 
 
 
 

 
exact
 
 

 
quel débit comptes-tu lui faire traiter ?

je fais beaucoup de simulation de migration d'un système à un autre (exemple Domino vers Exchange etc...); j'essaye de tester pour chaque client à iso périmètre (en fonction de mes possibilités).
 
Je pense balancé plus 100Mo/s assez souvent.
 
C'est une des raison pour laquelle je me "renseigne" pour passer mon infra en 10 Ghz directement (switch, carte réseau, câble etc...) si c'est pas trop déraisonnable.
 
Et puis il y a le côté qui peut le plus peut le moins.

c'est quel genre de flux à 100Mo/s entre deux vlans ?

Pour mon utilisation pro, beaucoup de flux http/https (export mail Domino vers Exchange grâce à des outils tiers). Certaines migrations portent sur plusieurs To, ce qui prend pas mal de temps  
Pour mon utilisation perso, beaucoup de transfert de fichiers "classique" (iso etc), je m’aperçois que j’envoie pas mal de gros fichiers multimédia tout les jours. Donc plus j'ai de bande passante, mieux ma geekitude se portera.
 
Après il y a aussi le côté veille technologique qui me pousse à tester pas mal de chose. Comme je dois créer mon réseau, je me dis que passer au 10 Go peut être un plus pour le futur (entre mes tests pro qui me prennent pas mal de temps, la freebox TV, le NAS avec pas mal de vidéo, les futur pc des enfants avec le net et la lecture de vidéo, mes caméras IP etc...)
 
J'ai pas de chiffre précis de bande passante, mais je suis souvent a la limite du réseau 1Go.

Bon après une nuit de réflexion, je reste sur de matériel 1 Gbit/s, car le 10 Gbit/s est bien plus cher.
 
Je suis en train de voir si je ne vais pas prendre un Cisco 3750G en occasion pour la partie switch. J'ai un collègue qui me précise que Cisco par rapport au d'autre marque comme d-link\netgear (plus accessible) est bien plus serieux etc...
 
La seuls chose qui me fait peur c'est la consommation électrique de ce switch :
 
 Cisco Catalyst 3750G-24TS-1U : 100W, 314 BTU/h
 
du coup il va falloir que je cherche mon routeur maintenant  

 
non mais quel débit entre tes vlans ? car c'est ça qui va conditionner le dimensionnement de ton pfsense. 1Gb/s tu ne le feras pas sur n'importe quelle machine.
 
tu parles de cisco mais pense aussi à regarder les autres marques "entreprise" : juniper, hp, brocade... mais bon si tu pars dans l'optique d'acheter sur ebay tu vas trouver pas mal de cisco.
 
Tu comptes router quoi sur ton switch et quoi sur ton firewall en fait ?

 
Tu peux faire de l'agréation. Plusieurs cartes réseaux sur un serveur et de l'etherchannel sur un switch Cisco adéquat. Genre 2/3 x 1Gb.

 
En effet, entre mes VLANs, je n'aurais pas besoin d'un débit de psychopathe, le gros se trouvera dans le VLAN pro et restera dans ce VLAN, en soi je comprends ce que tu essayes de me faire dire
 
J'ai cherché un peu, ma dernière réflexion, est de trouver un Switch 48 ports (ou deux 24 pour du HA un jour) qui lui ne me bridera pas.  
D'où ma réflexion sur un 3750G qui peut router, sinon je suis sur le topic Ubiquiti  avec le 48 lite mais difficile de comparer.
Du coup avec un Switch L3, la partie routage inter VLAN ne sortira pas de ce Switch, à priori...
 
Je branche le tout dessus avec création d'un VLAN PRO/PERSO/ADMIN/WIFI (il faudra donc que je trouve un distributeur wifi, c'est d'ailleurs cette partie que j'aimerais proxy-fié et/ou contrôler).
 
Ensuite je trouve un router/firewall que je mets entre ma box Free et le Switch, car si j'ai bien compris le Switch ne sera pas envoyé sur la Freebox pour sortir.
Dans un premier temps j'ai pensé à un Cisco 3825 mais il consomme 300W, ce n'est pas cohérent avec les efforts fournis pour passer mon domicile en économie d’énergie    
Sinon j'ai vu aussi que Ubiquiti possède des routers EdgeRouter 8 ports asses sympa qui consomme 35w (mieux déjà), je pense que je serais pas bridé par lui du coup.
 
Il y a la partie firewall que je ne sais pas traiter, je suis persuadé qu'un firewall intégré à un router ne doit pas permettre beaucoup de chose.
 
Bref, comme précisé, je nage un peu
 
 
 
 
 
 

 
Merci pour l'info.

si tu fais le routage inter-vlan sur ton switch, à quoi sert ton firewall ? juste pour l'accès à internet ? quel genre de politique suohaites-tu appliquer dessus ?

Au début, je voulais que mon firewall gère tous les flux de chaque VLAN. Après réflexion, trop de sécurité tue la sécurité; il s'agit juste d'un lab pro chez moi, le reste étant du matériel perso. Et cela bridera  le débit pour mes tests sur mon VLAN pro à coup sûr.
 
Donc si firewall il y a, il servira juste à "gérer" les flux internet en entrée sortie.
 
Par contre en parallèle, il faut que je contrôle/bloque les accès vers  certains site internet. Mes enfants sont petits, et j'aimerais pas qu'il tombe sur certains éléments; sur ce point je n'ai pas encore réfléchi.
Je ne suis pas sûr qu'un firewall puisse faire cela.
Au travail, si je tape certains mots ou que j'essaye de télécharger certains fichiers j'ai une belle alerte
 
Je ne sais pas si je réponds bien à ta question.
 

Au coup si c'est pour du filtrage web c'est plutôt un proxy que tu veux.
 
Ensuite à voir si tu as besoin aussi d'un firewall mais ça ne me semble pas évident.

Un firewall permet de bloquer certains flux venant d'internet ou pour internet, non ?
Alors qu'un proxy, permet de filtrer le contenu pour internet ?

les flux venant d'internet sont déjà bloqués au niveau du NAT de ta box (sauf si tu fais de l'ipv6 et que ta box ne sait pas bloquer les connexion entrantes).
 
que comptes-tu bloquer comme flux sortants à part le filtrage de trafic web ?

Je suis d'accord avec toi, cependant lorsque mon switch et mon router seront en place, il faudra que je passe ma Freebox en bridge (du coup bloquera t'elle toujours tout), ou je raconte une grosse connerie ?
 
Je veux en effet mettre en place un filtrage, si je peux garder ma box en l'état, du coup plus besoin de firewall  

pour quelle raison veux-tu mettre un routeur pour l'accès internet à la place de la box ?
 
quel filtrage veux-tu mettre en place ?
 
tu prends les choses dans le mauvais sens je pense, tu veux installer du matériel alors que tes besoins n'ont pas l'air bien définis...

A la base, je mets en place un serveur de virtualisation pour différents test pro, celui ci sera pilotable par mon ordinateur.
 
Le but est que ce serveur ne soit pas accessible par d'autre périphérique (filaire ou wifi) sauf si je le veux.
 
Aujourd'hui j'ai une Freebox et tout le monde est branché dessus (j'ai aussi un switch 8 ports car j'arrivais à la saturation du switch 5 ports de la Freebox).
 
Je pensais acheter un bon switch manageable histoire de créer des VLANs au moins pour ce serveur (enfin je pense que c'est une bonne méthode), et peut être qui sait pour de futurs serveurs. Du coup je profiterais de ce switch pour mon PC, rapatrier mon NAS du salon, tous cela dans l'armoire qui contiendra le serveur et le switch (24 ports à mon avis) etc...
 
Le problème est qu'ensuite je ne sais pas comment ce switch peut  'router' vers la Freebox les demandes pour internet, il faut aussi que je pense aussi à mes périphériques wifi.
 
Mais tu as raison, je nage un peu dans le flou, et vu que je ne possède pas de grosse connaissance réseau