Conception réseau PME <10 postes

Conception réseau PME <10 postes - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 30-03-2008 à 23:30:39    

Bonsoir, je dois concevoir un réseau pour un PME, Il doit y avoir les services suivant:
Firewall, Proxy, Partage Windows, Serveur SVN, Serveur d'application CAO sous RHEL (utilisation de Centos admise)
et surtout le plus important: une sécurité maximale pour les données (au niveau intrusion, pour le reste il y aura des sauvegardes régulières)
 
Alors j'ai dessiné le réseau sous Dia, le voici:
http://www.enregistrersous.com/images2/vignettes_images/47843040920080330232301.png(cliquez pour agrandir)
 
Donc comme dessiné il n'y a qu'un serveur qui remplit tout les services
Il tourne sous Xen avec Debian comme Dom0
En machine  virtuelle il y a Centos 5.1 qui tourne avec la possibilité plus tard de la déporter sur un autre serveur.
Pour les réglages du firewall il y a un draft intégré dans l'image.
 
J'aimerais savoir ce que vous en pensez, si vous voyez des soucis potentiels de sécurité (trés important)  :jap:  
J'ai peur d'avoir fait un peu trop compliqué  :sweat:  
 
N'hésitez pas à donner votre avis :hello:


Message édité par sligor le 30-03-2008 à 23:31:49
Reply

Marsh Posté le 30-03-2008 à 23:30:39   

Reply

Marsh Posté le 30-03-2008 à 23:43:49    

1) On installe pas de services applicatifs dans le dom0 :non:  
Ah la rigueur le firewall ca peut se concevoir puisque le dom0 fait le lien avec le réseau, mais le reste, non :non:  
Soit tu les regroupe dans une autre domU, soit meme tu les eclates en plusieurs domU, chaquant jouant son role
(à la rigueur tu peux regrouper certains services, comme DNS/DHCP par exemple)
 
Sinon la Freebox fait pas Firewall, ou alors j'ai pas compris ton schema :D


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 30-03-2008 à 23:50:58    

e_esprit a écrit :

1) On installe pas de services applicatifs dans le dom0 :non:  
Ah la rigueur le firewall ca peut se concevoir puisque le dom0 fait le lien avec le réseau, mais le reste, non :non:  
Soit tu les regroupe dans une autre domU, soit meme tu les eclates en plusieurs domU, chaquant jouant son role
(à la rigueur tu peux regrouper certains services, comme DNS/DHCP par exemple)


Ok dans ce cas je vais tous les installer sur un domU Debian à part :jap:
Mais le problème c'est que ça deviens lourd à gérer là.
Au final ça ne serait pas plus simple de tout mettre sur un seul et unique serveur Centos sans Xen ? Mais quid de la sécurité ?  :??:  
 
 

e_esprit a écrit :


Sinon la Freebox fait pas Firewall, ou alors j'ai pas compris ton schema :D


Il y a un routeur NAT dessus et que dans ce cas il ne peut pas y avoir de connections entrantes mais en effet ce n'est pas un vrai firewall   :)

Reply

Marsh Posté le 31-03-2008 à 00:00:27    

sligor a écrit :


Ok dans ce cas je vais tous les installer sur un domU Debian à part :jap:
Mais le problème c'est que ça deviens lourd à gérer là.
Au final ça ne serait pas plus simple de tout mettre sur un seul et unique serveur Centos sans Xen ? Mais quid de la sécurité ?  :??:  
 
 


 

sligor a écrit :


Il y a un routeur NAT dessus et que dans ce cas il ne peut pas y avoir de connections entrantes mais en effet ce n'est pas un vrai firewall   :)


un domU ou 10 domUs ça change rien :o (sauf au niveau perfs :D)


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 31-03-2008 à 09:28:50    

Niveau perfs, pas temps que ça.
Niveau admin, et bien ca fait évidemment plus de machines à gérér, mais d'un autre coté, chaque domU fait un seul (ou un peu plus) truc, donc moins de risque de tout péter en upgradant un service, une lib, etc. Donc au final c'est pas beaucoup plus lourd à administrer (si ce n'est le temps de prendre en main les outils de virtualisation, et la méthodologie qui va avec).

 

Les + sécurité :
- les services sont isolés, si y en a un qui a une faille (au hasard le apache+PHP), seul le domU qui heberge ce service sera concerné, les autres services (sur les autres domU) ne seront pas impactés.
- si une domU se crashe ou qu'un service se met à consommer tout le CPU/RAM/beaucoup d'I/O à cause d'un gros bug (c'est rare, mais ca arrive), les autres domU ne seront que faiblement impactées, alors que si t'as tout sur le même système (physique ou VM), ben tous les services seront impactés.

 

Ne pas oublier que la sécurité en informatique, ce n'est pas simplement de se protéger des pirates, c'est :
- la disponibilité des données quand tu en as besoin (d'où l'interet d'avoir des systèmes qui restent réactifs),
- l'intégrité des données (donc en cloisonnant tes données tu t'assures qu'un autre service ne va pas mettre en danger des données avec lesquelles il n'a rien à voir)
- l'accès au données, qui a accès à quoi, donc encore une fois, le cloisonnement permet cela, tes règles d'accès peuvent être beaucoup plus fine, et ce au niveau reseau de chaque serveur)
- les sauvegardes
- et enfin une politique de sécurité système/réseaux (failles, mise à jour, firewall, etc.)

 

En gros, on pense souvent à la virtualisation en terme de consolidation (meilleur utilisation des ressources matérielles disponibles), et on oublie souvent le coté cloisonnement qui est vraiment très important ;)

 

Mais bon, ton stage n'est pas en admin. systèmes & réseaux, ce que je dis plus haut concerne surtout les admins pro. qui ont du temps à y consacrer, et qui ont parc un peu plus important à gérer, mais comme tu poses la questions, c'est toujours bon à savoir :jap:

 

Après, avec le peu de temps dont tu disposes, et le fait que tu n'est pas admin sys&res, c'est sûrement plus simple de tout installer dans un seul OS.

Message cité 1 fois
Message édité par e_esprit le 31-03-2008 à 09:34:42

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 31-03-2008 à 09:30:09    

Les fautes d'orthographe/conjugaison/grammaire c'est cadeau bien sûr :D

 

Bon j'ai fait un effort et j'ai édité, mais il en reste surement, avec une heure de sommeil en moins [:babut26]


Message édité par e_esprit le 31-03-2008 à 09:37:25

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 31-03-2008 à 09:51:42    

la conception réseau au niveau du firewall est [:pingouino]


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 31-03-2008 à 10:25:28    

e_esprit a écrit :

Niveau perfs, pas temps que ça.
Niveau admin, et bien ca fait évidemment plus de machines à gérér, mais d'un autre coté, chaque domU fait un seul (ou un peu plus) truc, donc moins de risque de tout péter en upgradant un service, une lib, etc. Donc au final c'est pas beaucoup plus lourd à administrer (si ce n'est le temps de prendre en main les outils de virtualisation, et la méthodologie qui va avec).
 
Les + sécurité :
- les services sont isolés, si y en a un qui a une faille (au hasard le apache+PHP), seul le domU qui heberge ce service sera concerné, les autres services (sur les autres domU) ne seront pas impactés.
- si une domU se crashe ou qu'un service se met à consommer tout le CPU/RAM/beaucoup d'I/O à cause d'un gros bug (c'est rare, mais ca arrive), les autres domU ne seront que faiblement impactées, alors que si t'as tout sur le même système (physique ou VM), ben tous les services seront impactés.
 
Ne pas oublier que la sécurité en informatique, ce n'est pas simplement de se protéger des pirates, c'est :
- la disponibilité des données quand tu en as besoin (d'où l'interet d'avoir des systèmes qui restent réactifs),
- l'intégrité des données (donc en cloisonnant tes données tu t'assures qu'un autre service ne va pas mettre en danger des données avec lesquelles il n'a rien à voir)
- l'accès au données, qui a accès à quoi, donc encore une fois, le cloisonnement permet cela, tes règles d'accès peuvent être beaucoup plus fine, et ce au niveau reseau de chaque serveur)
- les sauvegardes
- et enfin une politique de sécurité système/réseaux (failles, mise à jour, firewall, etc.)
 
En gros, on pense souvent à la virtualisation en terme de consolidation (meilleur utilisation des ressources matérielles disponibles), et on oublie souvent le coté cloisonnement qui est vraiment très important ;)
 
Mais bon, ton stage n'est pas en admin. systèmes & réseaux, ce que je dis plus haut concerne surtout les admins pro. qui ont du temps à y consacrer, et qui ont parc un peu plus important à gérer, mais comme tu poses la questions, c'est toujours bon à savoir :jap:
 
Après, avec le peu de temps dont tu disposes, et le fait que tu n'est pas admin sys&res, c'est sûrement plus simple de tout installer dans un seul OS.


Merci pour cette longue explication, tout installer sur un seul OS (Centos en l'occurence à cause des applies certifiées RHEL) ça ma fait assez peur sachant que les projets seront stockés sur cette machine avec SVN, donc niveau sécurité c'est assez critique....  [:alph-one]

Reply

Marsh Posté le 31-03-2008 à 10:27:55    

black_lord a écrit :

la conception réseau au niveau du firewall est [:pingouino]


Peux-tu expliciter stp, j'avoue ne pas être expert dans le domaine de la config de Netfilter donc soit j'ai mal expliqué ce que je voulais faire, soit j'ai fait n'importe quoi  :sweat:  

Reply

Marsh Posté le 01-04-2008 à 16:52:20    

Sinon quoi qu'il arrive il vaut mieux que je laisse le DHCP sur le Dom0 non ?
 
Et niveau sécurité tout mettre sur le même OS et tout laisser sur le Dom0 ça revient au même non ?

Reply

Marsh Posté le 01-04-2008 à 16:52:20   

Reply

Marsh Posté le 01-04-2008 à 18:21:05    

Ben un DHCP pour 6 postes, est-ce vraiment bien utile ?


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Marsh Posté le 01-04-2008 à 19:03:26    

Ouai, se ne sont pas des postes fixes (d'ailleurs c'est une grosse faille de sécurtié dans le sytème mais bon [:pingouino] )

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed