Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1065 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  solution pour filtrage total d'un reseau

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

solution pour filtrage total d'un reseau

n°135810
exmachina
Posté le 20-11-2015 à 20:05:33  profilanswer
 

Bonjour,
 
Je souhaiterais savoir quel config adopter pour filtrer un réseau
 
c'est à dire pouvoir observer/filtrer chaque trame que n'importe quel poste lambda envois vers un autre poste interne ou vers internet.
 
est ce que l'utilisation de vlan privé est utile dans ce cas ou est ce autre chose ?
 
en vous remerciant.

mood
Publicité
Posté le 20-11-2015 à 20:05:33  profilanswer
 

n°135816
skoizer
tripoux et tête de veau
Posté le 23-11-2015 à 08:39:33  profilanswer
 

difficile quand il y a des commutateurs.
Si tu met des hub partout tu peux observer le traffic sur tous tes postes.
Les vlan sont utiles si tu veux segmenter ton reseau.
Tu peux refondre ton plan d'adressage en mettant des PC client sur une plage et tes serveurs dans un autre (tout ça dans des VLAN).
tu met un UTM au coeur du reseau. Bien sur, si des pc essayent de communiquer avec d'autre Pc tu ne verrai rien.
 
 


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°135822
_lael_
Posté le 23-11-2015 à 11:57:37  profilanswer
 

A mon avis ce que tu devrais faire c'est, comme suggéré au-dessus, commencer par revoir ton plan d'adressage et la segmentation de tes utilisateurs par fonction/rôles dans des réseaux (vlans) dédiés puis placer un parefeu entre pour filtrer / monitorer les interactions.
 
Mais tu auras les limitations suivantes:
- Tu ne pourras pas filtrer les interactions entre utilisateurs dans un même réseau
- Si tu veux logger/filtrer finement les accès à internet tu devras faire passer tes utilisateurs par un proxy


Message édité par _lael_ le 23-11-2015 à 11:59:06
n°135831
exmachina
Posté le 23-11-2015 à 19:25:27  profilanswer
 

merci pour vos réponse,
 
je pensais à 2 solution :
 
1) mettre tout les poste dans des pvlan et utiliser un routeur/firewall pour gerer les connexion entre chaque poste.
+filtrage total des le 1er paquet
+isolation native (pvlan)
+performance pas top
- routeur/firewall doit etre costaud
(mais je ne sais pas si ca fonctionne)
 
 
2) faire du port mirroring et utilisé le port mirroring pour établir du filtrage
+performance moins pénalisant
- pas d'isolation
- filtrage dépendant d'un ids, et reprogramation du switch en guise de firewall.
 
3 ) utilisation des vlan acl
c'est un mix des 2 premiere solution.
 
perso, je ne comprend pas avec les réseaux active directory pourquoi on continue a laissé au postes la possibilité de discuté en P2P.
 
alors qu'avec un bon ids central on pourrait tout filtrer

n°135832
ShonGail
En phase de calmitude ...
Posté le 23-11-2015 à 20:49:35  profilanswer
 

Je ne vois pas trop le rapport entre AD et le fait que les postes clients puissent converser entre eux.
 
Sinon, c'est quoi le but d'empêcher les postes clients de converser librement ?
 
Autant au niveau d'un WLAN grand public, je conçois l'intérêt de faire de l'isolation.
Autant dans un LAN, je ne vois pas l'intérêt. Si on trust pas un poste client, on le retire du LAN ou on l'isole sur un réseau à part. Mais à partir du moment où on le place dans le LAN, c'est pas pour le filtrer comme un si c'était un serveur pirate.

n°135833
exmachina
Posté le 23-11-2015 à 21:43:10  profilanswer
 

Citation :

Je ne vois pas trop le rapport entre AD et le fait que les postes clients puissent converser entre eux.  
 
Sinon, c'est quoi le but d'empêcher les postes clients de converser librement ?


 dans un  réseaux client/serveur, si il ya une connection client client  c'est qu'il y a tentative de piratage.
 

Citation :

Autant dans un LAN, je ne vois pas l'intérêt. Si on trust pas un poste client, on le retire du LAN ou on l'isole sur un réseau à part. Mais à partir du moment où on le place dans le LAN, c'est pas pour le filtrer comme un si c'était un serveur pirate.


 
l'interet du filtrage, c'est d'etre dynamique, si un poste est infecté ont peut l'isolé en le reroutant facilement sur  vlan specifique, en etant sur qu'aucun autre poste n'a pu etre atteint
car le parefeu/routeur/ids est garant de chaque connexion.
 
dans un reseau normal on peut intercepter des trame qui entre et qui sorte du wan (exemple avec squid), mais ont ne peut rien faire si le client et deja infecté et tente d'infecter les autre postes.

n°135834
ShonGail
En phase de calmitude ...
Posté le 23-11-2015 à 23:09:48  profilanswer
 

Houla j'ai du mal à suivre.
 
Dans un LAN, lorsque un poste tente une connexion sur un autre, ça peut être de multiples choses sauf une tentative malsaine d'intrusion.
Y'a même pas mal de fonctions natives de Windows par exemple qui passent leur temps à tenter de joindre le PC d'à coté pour proposer des services.
 
Ensuite, le principe d'isoler un PC infecté du reste du réseau, c'est le NAC.
Et ce n'est pas en rapport avec le fait de filtrer les connexions entre les membres du réseau.
 
Enfin, SQUID ne permet pas d'intercepter des trames. C'est un proxy. C'est le rôle du pare-feu de surveiller les trames.
Et dans le cas d'un PC qui ne répond pas ou plus aux exigences de sécurité, on en revient au NAC.

n°135836
exmachina
Posté le 23-11-2015 à 23:50:22  profilanswer
 

Citation :

Y'a même pas mal de fonctions natives de Windows par exemple qui passent leur temps à tenter de joindre le PC d'à coté pour proposer des services.  


 
dans un domaine ad en general on en veut pas, il s'agit souvent de découverte réseau ou autre fonction multimedia totalement inutile.
 

Citation :

Ensuite, le principe d'isoler un PC infecté du reste du réseau, c'est le NAC.  
Et ce n'est pas en rapport avec le fait de filtrer les connexions entre les membres du réseau.


 
le nac se base sur les info niveau du poste ou sur le réseau, à partir de paramètre commun (antivirus a jour, oui/non, niveau de secu de l'utilisateur connecté...),
 
je suis plus sur l'implementation a tout un réseau d'un ids/dpi style suricata ou autre.
 

Citation :

Enfin, SQUID ne permet pas d'intercepter des trames. C'est un proxy. C'est le rôle du pare-feu de surveiller les trames.


squid en lui meme non, mais son utilisation va de paire avec de l'analyse de traffic, et ses blacklists sont assez populaire pour empêcher tout connexion a des site infectieux.

n°135838
skoizer
tripoux et tête de veau
Posté le 24-11-2015 à 08:48:02  profilanswer
 

exmachina ta demande semble louable mais peu réalisable.
ou sinon tu active le firewall natif sur tous les postes en indiquant qu'ils peuvent dialoguer qu'avec une liste restreinte de serveur..
bonne chance.


Message édité par skoizer le 24-11-2015 à 08:54:53

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°135844
_lael_
Posté le 24-11-2015 à 10:49:24  profilanswer
 

Je t'avoue que je n'ai jamais vu quoique ce soit de similaire chez aucun client où j'ai fait des missions et pour la simple raison que c'est ingérable d'un point de vue administration de cloisonner tous les PCs entre eux par un parefeu physique.
 
Ce que j'ai vu par contre qui s'apparente à ce que tu cherches c'est de coupler GPO + NAC + parefeu
1) Via GPO tu gères la politique de tes postes de travail et tu peux par exemple empêcher qu'ils hébergent des services sur leur poste ou fassent du partage de fichier entre eux sans passer par des serveurs de fichiers. Tu peux aussi bloquer des ports spécifiques en agissant sur le parefeu du poste de travail.
2) Via NAC tu t'assures, via enrollement et génération d'un certificat sur le poste de travail, que le poste est bien un poste corporate et si ce n'est pas le cas ça l'isole dans un réseau séparé.
Idem tu peux coupler ça à des outils de sécurité sur les postes de travail type host checker qui vont vérifier si le poste est bien à jour niveau antivirus, que les politiques de sécurité sont bien appliquées, etc... Et s'il y a une anomalie ou un virus de détecté ça te le met en isolement en le déplaçant dans un autre réseau/vlan.
3) Via parefeu physique + proxy pour filtrer les interactions entre tes utilisateurs, tes applications, tes services d'infra et internet.


Message édité par _lael_ le 24-11-2015 à 10:55:17

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  solution pour filtrage total d'un reseau

 

Sujets relatifs
Aide pour Reseau ethernet HS 30ml box sfr à TV (ou wii u)Exposition d'un serveur sur réseau local ET wan
Redirection reseau vers autre sous reseau VPNintrusion dans mon réseau Local
CMU200 (simulation réseau 2G/3G)Réseau Industriel
[RESOLU]Parc de PC sous Vista certains ne voient pas tout le réseaucable reseau avis
question réseau,simpleChoix câblage réseau (petite association)
Plus de sujets relatifs à : solution pour filtrage total d'un reseau


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR