Securisation d'une solution de routage [Projet] - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 12-06-2009 à 11:15:17
a mon avis c'est plus securisation contre les intrusion externe
regarde du coté des serveurs DMZ avec 2 routeur amont/avant + proxy en sandwitch au milieu
Marsh Posté le 12-06-2009 à 14:25:09
ô_O ...
Si je comprend bien .. (parce que je pense ne pas avoir tout suivi..)..; un paquet qui sort de mon réseau passera par :
PC > Routeur > serveur DMZ > routeur > proxy > WAN
???
Marsh Posté le 12-06-2009 à 14:43:52
nan
il passe par
pc > routeur "interne"> serveurDMZ>routeur "externe" > WAN
le serveur DMZ aillant un role proche d'un proxy conventionnel
et la triplette serveur + double routeur qui est vu par le reseau interne comme un "simple" passerelle/routeur WAN
ce système permet ( s'il est bien reglé ) que 100% du taffic entrant et sortant soit relayé par le serveur et ainsi d'empecher tout intrusion sur le reseau depuis l'exeterieur
les deux reseaux se "vois', peuvent communiquer mais restent etanche l'un envers l'autre
exemple : un PC fait une requete HTTP ( port 80) la requete passe le routeur interne et est translaté en port 8080, cette requette arrive au serveur qui la renvoie vers le routeur exterieur sur port 8080 , le second routeur la retranslate en port 80
bilan du point de vu interne : requete port 80 bete et mechante qui arrive sur le serveur demandé comme si de rien n'etais
bilan de l'exterieur : un hacker tente une attaque sur le port 80 tombe ( via le premier routeur) sur le serveur qui analyse la requete et la rejete
en cas de problème le serveur est le seul a manger, c'est lui qui encaisse et s'il est bien configuré il ne laisse rien passer
Marsh Posté le 12-06-2009 à 15:01:02
Oki oki ... Merci pour ton aide ...
Donc pour chaque réseau il y'a "3 choses" a configurer ... 2 routeur + serveur DMZ ?
je vais essayer de m'orienter vers cette idée .. j'aurais du m'y prendre avant parce que je sens que ça pas etre du gateau ..
Marsh Posté le 12-06-2009 à 15:06:57
c'est ca, il faut regler les 2 routeur/firwall qui cree la DMZ elle meme et le serveur tampon qui s'y trouve
en general le ( ou les) serveurs situé dans la DMZ gere(nt) en plus de la passerelle WEB toutes les fonctions de communitions vers l'exterieurs type mail, telechargement centralisé de MAJ pour le reseau ect
Marsh Posté le 12-06-2009 à 16:22:01
Salut
Deja, il serrait bon de commencer par le début : " Securisation d'une solution de routage "
Commence par définir les deux mots "sécusation" et "routage" et pose toi des question :
Pour le routage :
quoi : un routeur , un ordinateur servant de passerelle....
quand : quand est utilisé un système de routage, dans qu'elles cas
coment : Protocoles de couche 3 (ipv4, ipv6) , couche 4 (TCP,UDP), couche 5 (http, ftp voip....), adressage mac, securité reseau local (802.1X) , vpn pour l'extérieur (ipsec, pptp, openvpn), identification reseau wifi (wep, wpa, radius), carte à puce EAP, DMZ, etc...
pourquoi faire : sécurisé le routage au sein du réseau
Tu devrais trouver pas mal de doc sur ce site web : http://2003.jres.org/archives.html
Sinon, va poser des questions à celui qui ta donner le sujet, car il est trop vague et mal définit (je te fais une thèse de 400 pages rien qu'avec les informations au dessus et expérience de test)
Apok
Marsh Posté le 12-06-2009 à 16:23:48
Apok a écrit : Sinon, va poser des questions à celui qui ta donner le sujet, car il est trop vague et mal définit (je te fais une thèse de 400 pages rien qu'avec les informations au dessus et expérience de test) |
Pour ne pas dire "reformuler environ 100 % des bouquins disponibles sur Amazon sur le sujet. "
Marsh Posté le 12-06-2009 à 16:27:43
Latrinite a écrit : |
Nan, je pensais plutôt à Wikipedia dans mon cas
Marsh Posté le 15-06-2009 à 09:46:16
Merci Apok pour ton message.
Je pense que je vais utiliser la mise en place de DMZ.
Pour faire office de routeur je pense a un pc servant de passerelle , en utilisant des OS virtuel pour simuler plusieurs postes.
Merci pour le lien, je vais y jeter un coup d'oeil de ce pas
Marsh Posté le 15-06-2009 à 13:32:17
Pensez vous que l'utilisation d'une distrib IpCop, sur une machine virtuelle peu servir pour ce genre de maquette?
Je suis un peu perdu je ne sais vraiment pas par ou commencer =/
Marsh Posté le 15-06-2009 à 14:25:57
IPCop intègre déjà une déclinaison linux allégée, il me semble, virtualiser ça ne serait pas une bonne idée.
Marsh Posté le 15-06-2009 à 15:19:56
Oui, il est sur qu'utiliser une machine dédiée est préférable mais je ne dispose pas du matériel nécessaire pour consacrer une machine uniquement a Ipcop.
Il existe une version VMWare ...
La vrai question est , est-ce que une maquette ou je "superviserai" le réseau grace a IpCop réponderais a ce sujet?
Merci
Marsh Posté le 15-06-2009 à 18:40:52
elmarokinho a écrit : mais je ne dispose pas du matériel nécessaire pour consacrer une machine uniquement a Ipcop. |
C'est dans les restrictions de ton sujet d'étude ?
Sinon le fait de ne pas consacrer une machine à ce travail réduira ta note finale d'environ 20 points...
Marsh Posté le 15-06-2009 à 21:20:15
Non ce n'est pas dans les restrictions... Mais , pour dédier une machine ... il faut en disposer ... la pour le moment j'ai 2 PC portable a disposition 24h/24 ... donc je ne peux pas me permetre de "sacrifier" un poste pour installeur IPCOp
Marsh Posté le 15-06-2009 à 21:25:25
et pourquoi ca ... ? tu utilise 2 ordi en meme temps toi ???????
de toute facon ca dmeanderai 2 cartes reseau sur une machine donc un ordi portable n'est pas le pîus indiqué
tu doit faire de la theorie ou de la pratiqe ???
parce que la pratique de securité reseau sans le matos reseau adapté c'est comme essayer de faire de la course automobile sans acheter de pneu .........totalement con
Marsh Posté le 16-06-2009 à 09:04:46
arkrom a écrit : |
C'est pour ça je peux utiliser une machine virtuelle ...
Et d'autre part j'ai vu IpCop doit etre installé sur un disque dur totalement vierge... je ne peux pas
Donc je vais forcément opté pour une solution qui virtualise, est-ce possible?
Marsh Posté le 16-06-2009 à 10:49:05
Oui c' est possible, avec vmware tu peux installer un peu n'importe quoi et même isoler des machines virtuelles sur des réseaux virtuels, tu peux faire une petite maquette simulant un réseau d'entreprise.
Marsh Posté le 16-06-2009 à 14:38:02
Bon ... Vive la scolarité, je viens d'apprendre : Etude préliminaire (plan + qques détails) à rendre le 22 JUIN ... lundi !!
Vous l'avez compris, je suis particulierement dans la m*****
Si quelqu'un pouvais vraiment me donner des pistes pour avancer ce serait génial !
Merci a tous
Marsh Posté le 16-06-2009 à 15:06:02
Un schéma classique:
Une grande entreprise, des vlan, dont un ou plusieurs réservés aux serveurs, un routeur central pour router tout ça, sa route par défaut sur le firewall du lan, accès à internet avec 2 firewall et la dmz au milieu, dans la dmz tu mets le proxy + vpn, ...
Marsh Posté le 16-06-2009 à 15:31:55
Ok ... je vois a peu pres le schéma ..
Tout ça est faisable avec 2 PC et Vmware ?
Caar ça semble un peu beaucoup ...
Il faut au moins que j'arrive a faire un schéma tout simple pour avoir quelque chose a présenter...
L'étude préliminaire ( grande directives ) est a rendre ce lundi donc il faut que je soit a peu pres fixé sur ce que je vais faire ... et apres j'aurais jusqu'au 26 pour vraiment mettre en place ...
En gros je n'ai vraiment plus de temps
Merci pour votre aide, j'espere je vais réussir a faire au moins un "petit" truc ...
Marsh Posté le 17-06-2009 à 01:58:55
J'ai a disposition 2 PC portables sous XP , ainsi que toutes les machines virtuelles que je veux.
Faut vraiment j'arrive a sortir un truc, meme de base, histoire de sauvé les meubles =/
Marsh Posté le 17-06-2009 à 08:10:43
C'est pas jouable de virtualiser tout ça, et aucun intérêt, c'est juste un schéma classique d'entreprise.
Centre ton truc plutôt sur le paramétrage du ou des firewall.
Marsh Posté le 17-06-2009 à 17:50:09
tuxerman12 a écrit : c'est juste un schéma classique d'entreprise. |
Deux PC portables pour sécuriser le réseau d'une entreprise ?
Marsh Posté le 17-06-2009 à 22:15:31
C'est juste pour faire une démo du concept pendant une présentation de 10minute, rien d'extraordinaire ... de toute maniere il serait imposible de déplacer "4 serveur, 10 postes ..." dans une salle ... Donc une petite démo toute bete de IpCop et ses fonctionnalité, voila vers quoi je m'oriente... De toute façon, si proche du but, il faut bien faire quelque chose :S
Marsh Posté le 17-06-2009 à 22:19:34
Si tu es dans la démonstration simplifiée, tu peux quand même te permettre de faire une partoche bootable IPCop et pas juste une virtualisation.
Marsh Posté le 18-06-2009 à 08:00:41
Un firewall c' est au minimum 2 cartes réseau, à moins de s' amuser à en rajouter une au portable, ce sera aussi propre et crédible de virtualiser la maquette.
Marsh Posté le 18-06-2009 à 09:13:33
Oui voila ... En créant une partition IpCop, je "perds" une carte réseau ...
Marsh Posté le 09-07-2009 à 10:25:05
Donc finalement, j'ai fait une petite presentation avec 2 pc, un Ipcop en vmware... et un peu de tchatche et c'est passé ...
Merci a vous !
Marsh Posté le 12-06-2009 à 10:57:21
Bonjour,
je suis étudiant et j'ai un projet a rendre pour la fin du mois ...
(oui j'aurais pu et dû m'y prendre avant ! )
Le sujet :
" Securisation d'une solution de routage "
Rien de plus, rien de moins ...
Auriez vous des pistes par où commencer?
Je pensais à un déploiement d'une solution type VPN mais est-ce adapté?
Merci a ceux et celles qui prendront le temps de me lire, et encore mieux, de m'aider !