Bonjour,
 
J'ai 20 serveurs sur le même LAN que mes postes clients (200 ) , je voudrais scinder le réseau en 3 parties:
1- un réseau pour les serveurs ( 10Gb )
2- un réseau pour les postes clients. ( 1Gb)
3- un réseau pour les imprimantes. ( 1Gb)
 
J'avais pensé a mettre une firewall Cisco , qu'en pensez-vous? avez-vous une piste sur le modèle que je dois installer ( capacité de commutation ) ?
 
Merci
 
zs
 
 

Bonjour,
 
et pourquoi pas plutot un switch sur lequel tu créees 3 Vlan pour tes réseaux ?

j'aime bien le topic qui dans le titre parle de routeur, dans le contenu de firewall puis de capacité de commutation (donc de switch si on parle de commutation) ...

 
 
Bonsoir,
 
Si je prends un Switch L3 je ne pourrais pas autoriser ( enfin je crois .... )   le strict minimum entre mes VLAN ( ports :389, 53, 139,137,3389 etc ...)
 
Bêtement j'avais dans l'idée de mettre un Firewall entre mes réseaux, quand je parle de capacité de commutation j'entendais plutôt par Firewall Throughput.
 
zs

C'est pas vraiment un firewall mais un routeur qu'il te faut. Maintenant un switch niveau 3 fera le job comme dit plus haut.

je dirait même mieux. Un firewall est pas vraiment gage de securité
Prend un "advanced firewall"  
regarde fortigate, stormshield, cisco, ils proposent cela.
Le gros probléme c'est pas plutot les accés WAN ?

Merci Skoiser, après vérification  l'ANSI préconise bien un firewall pour isoler les Serveurs .
 
Je ne connais pas bien les équipements Fortigate , StormShield et Cisco, aurais-tu un retour d’expérience?  
 
Merci
 
zs
 

oyoooooo  
 
Tu peus tout à fais mettre un parefeu entre tes postes et tes serveurs ... Mais pourquoi entre les imprimantes et les postes ?
 
Pour scinder le réseau, un switch L2 suffira (avec les fonction basique de routage statique, généralement je les appel des switch L2+).
 
Si vraiment tu veux du filtrage, rajoute un firewall, mais le filtrage entre les postes et les imprimantes ... A moins de bosser pour la CIA ... Je ne vois pas d'intérêt autre que de se mettre une complexité supplémentaire.

Fortigate , StormShield et Cisco
ils ont des equipements dit UTM ou aussi appelé advanced firewall
https://fr.wikipedia.org/wiki/Unified_threat_management
 
Par exemple ils peuvent te faire remonter les flux qui ont des failles.
ou te bloquer les postes qui diffusent locky (ransomware).
le firewall fait uniquement OSI 4
principale fonction des UTM permet de faire une analyse protocolaire avancé.
 
 
 
Les utm peuvent aussi faire mutli passerelle WAN, proxy, antivirus sur les flux, gestion des accés distant via vpn ou vpn ssl, ntp, dhcp, nat,  filrage smtp, filtrage url, antispam, QOS etc...
 
Mais il te faut un contrat de maintenance et un support solide car c'est complexe. Mais quand on maitrise bien ces solutions sont géniale.

Merci pour vos infos, avez-vous idée sur le dimensionnement du FW?
Je pense que je vais partir sur 2 firewall en redondance sans UTM pour l'instant    
 
merci

 
 
Bonsoir ChaTTon2, j'ai juste besoin du port 9100 entre mes serveurs d'impressions et les copieurs / imprimantes (éventuellement la page d'admin ) vu que je compte mettre un Firewall avec plusieurs Eth ... pourquoi ne pas joindre l'utile a l"agréable  

bah le ping, le snmp c'est pas mal aussi

 
  pas faux !

J'ai pas dis que ce n'étais pas faisable Juste que, encore une fois selon le milieu où évolue ton entreprise, que vas-tu gagner ? Si tu ne gagnes rien (pour le business ou le confort de tes utilisateurs) je ne pense pas que ce soit un point de sécurité important.
 
Le premier point de piratage d'information sur une imprimante, c'est Mme Michou, responsable RH, qui lance des impressions confidentiels et qu'elle ne récupère jamais. Ces infos trainent donc dans le bac de l'imprimante. Et là on est d'accord, nous avons, par exemple, mis un système de badge sur les imprimantes qui permet :
- de sécuriser les sorties papiers
- de s'économiser les ratés d'impressions (merci la planète)
 
Mais franchement, le piratage de l'imprimante ... à la rigueure tu pourrais me dire que les bureaux sont fermés à clé, et c'est pour éviter qu'une personne ne se connecte à la place de l'imprimante et se retrouve sur le réseau local PC ... OK là oui, c'est drastique, mais c'est valable (j'ai le même problème en ce moment même avec des badges de porte d'un de nos sites qui sont cablés en RJ45 ... Dans la rue ...). Et crois moi, quand t'as un soucis d'impression, ca te fais un point en plus à vérifier et si tu es short en temps ... Ben c'est lourd

+1 pour chatton2
Je ne vois pas vraiment l’intérêt de sécurisé les imprimantes.
et puis admeton si il y a une faille sur le port 9100 de ton imprimante c'est pas ton firewall qui va le bloquer et empecher cela...
 

Bonjour,
 
Si tu autorises 3 ports entre ton "réseau imprimantes" et ton serveur d'impression et que tu fais des acl, je pense réellement que c'est beaucoup mieux que de laisser tout passer.
 
Mon interrogation portait surtout sur l'utilisation d'un FW sur mon LAN.
 
Merci
 
 

Je ne dis pas que c'est inutile ! Juste que dans ton contexte il faut voir ce que celà t'apporte.
 
Qu'est ce que tu risques à mettre tes imprimantes dans ton LAN ?
 
ACL+Parefeu ? Pour moi ça s'approche de plus en plus d'une usine à gaz (en toute amitié bien sur)

Pas de souci ChaTTon2 ! je me répète , le fond ma question portait plutôt sur le Firewall.
Par ailleurs j'ai décidé de faire une brocante avec mes imprimantes  

Bonjour,
je te conseil un pare-feu stormshield, simple et très facile à installer pour ce type de configuration.
Fortinet aussi mais n'est pas encore validé par l'anssi. (stormshield en cours, netasq y était).
 
A+

Bonjour,
 
je connais également Stormshield, produit plutôt de qualité (normal vu le prix), pas mal de fonctionnalités pour des réseaux un peu plus complexes,  support technique au top et formations intéressantes. En ce qui concerne la certification si mes infos sont bonnes les produits Stormshield sont certifiés EAL4+ ce serait le site de l'anssi qui n'est pas à jour .  
 
J'ai également eu de bons retours de Fortinet et Sophos mais je ne les ai jamais utilisés donc je me garderai bien d'émettre un avis