Bonjour a tous,  
 
 
voilà j'ai fait un réseau sur packet tracer pour vous le montrer, ne faites pas attention au points rouges
 
car le réseau n'est pas configuré. Je voudrais savoir si cette configuration est possible?
 
De plus je voudrais savoir, si je mets en place des vlan (3 vlan), je devrais les appliquer sur le switch 0?  
 
Ou serait la place du serveur web et de la zone dmz?  
 
 
 
Merci d'avance a tous, ( ce n'est pas des questions technique, juste pour l'architecture   )
 
 
nz
 
 

 
Uploaded with ImageShack.us

Je vois pas de firewall sur ton schéma. C'est lui qui doit gérer les interfaces DMZ

 
Tes vlans doivent être configurés sur tous les commutateurs (switch0, switch1, switch2 et switch3).
 
J'utiliserai 4 vlans. Le vlan pour l'administration des commutateurs et 2,3 et 4 pour tes zones/groupes de machines.
 
Sur les ports d'interconnexion entre les switchs (port trunk) : 1 untag, 2,3,4 tag
Sur les ports connectés aux machines de la zone 2 (20 postes) : 2 untag
Sur les ports connectés aux machines de la zone 3 (20 postes) : 3 untag
Sur les ports connectés aux machines de la zone 4 (10 postes) : 4 untag

 
Il est préférable pour des questions de sécurité que ton serveur www soit derrière une interface physique à part entière et non derrière un vlan.
 
Comme le souligne CK Ze CaRiBoO, un fw placé derrière ton routeur avec 3 interfaces (wan, lan, dmz publique) est manquant. Tu places alors ta machine www derrière. C'est le fw qui gérera les règles de filtrage.  

Et pour quelles raisons...? Dans le fond il n'y en a pas bcp et on peut s'en protéger efficacement. Curieux de voir ta réponse

ouais mais vlan hopping, cam overflow tout ça
 
tiens tant que je t'ai sous la main, est-ce qu'il y ad es offres IP VPN MPLS (L3) qui supportent le multicast ?

jujudu44, en faisant reposer ta dmz sur un vlan dédié, tu fragilises la sécurité de ton infrastructure.
 
http://www.cisco.com/en/US/product [...] ml#wp39009
 
Pour moi le bastion doit rester le fw ou des fw cascadés selon les besoins.
 
Tout ceci peut-être effectivement discuté et des arbitrages sont à effectuer selon la sensibilité des données dans ton SI.

Non mais on a déjà eu le débat dans un autre topic, mettre des DMZ sur des vlans c'est juste un truc standard (à part pour certains RSSI qui pigent rien en réseau "le cloisonnement en vlan j'ai pas confiance" - c'est du vécu).
 
Et puis lis quand même les liens que tu postes  
 
The security of VLAN technology has proven to be far more reliable than its detractors had hoped for and only user misconfiguration or improper use of features have been pointed out as ways to undermine its robustness.

C'est le prob des RSSI: c'est qu'ils pigent rien au réseau, et restent campé sur des préceptent vieux de 10 ans:
les vlan, c'est mal, c'est pas secure.
le ping, c'est hyper dangereux, parce qu'après, les méchants hacker ils savent qu'il y a une machine
Utiliser lesports standards c'est mal, c'es beaucoup plus standard si tu changes tous les ports (beaucoup plus chiant à manager aussi, mais bon, c'est pas leur soucis). Je suis pour le changement du port de tous les serveurs web d'internet, le port 80, c'est pour les nuls (et je parle pas du port 22 pour ssh).
 
Derniere blague en date, un auditeur qui avait du lire un article récent sur Mitnick m'a sorti le spoofing d'IP source pour blooser le firewall et forcer une connexion ssh ...
 
je pense que ces discussions n'auront jamais de fin...

J'ai lu l'essentiel de l'article.
Justement, la fragilité du système de sécurité est lié à l'humain ou une défaillance matérielle (maintenant un carte Ethernet peut très bien lacher    ). C'est corroboré pour l'aspect humain dans le passage que tu cites.
 
Je n'avance pas le fait qu'un réseau sur lequel repose des vlans n'est pas sécurisé.  Je n'ai pas écrit cela. Mon infrastructure par exemple repose sur des vlans pour des raisons de souplesse et de sécurité. Je dis tout simplement que pour des données sensibles situées en dmz publique et plus particulièrement pour une dmz privée, on accroit le risque. Tout est question de savoir où tu places ton curseur.  
Maintenant si tu es un RSSI qui pige tout au réseau, qui est au fait des nouvelles failles, qui supervise en tant réel le traffic du réseau et ton matériel actif et qui intervient en temps réel pour remplacer un commutateur parti en vrille, bien tu peux placer ta machine www n'importe où sur ton lan. Moi je n'ai pas la chance d'évoluer dans une telle structure.

 
 
Je pensais qu'il suffisait de configurer les vlan sur le switch0, donc attribuer les port pour les lan 1, 2 et 3 sur le switch 0.
Puis utiliser les sw1, 2,3 comme des hub sans configurer de vlan.
 
 
 
 
 
 

techniquement ça fonctionnera mais tu perds toute la flexibilité des vlans qui servent justement à attacher des machines appartenant à différents vlans sur le même switch.

 
 
dans l'architecture le sw0 sera un switch d'accès et les 3 autre pour la distribution.  
 
les sw1, 2, 3 seront dans des bureaux différents
 
 

 
 
Pour le serveur, je vais prendre un serveur dell avec un windows server 2008 r2 dessus  
je choisis une solution toute en un, (vu le nombre de clients) c'est a dire le serveur fera : firewall, dns, dhcp, http, serveur de fichier.
 
 
j'installe le serveur sur le sw0 ?
Pour le firewall, j'ai entendu dire qu'il y a des routeur Cisco, qui possèdent un module firewall, c'est vrai?

Si c'est le serveur ton firewall (c'est pas vraiment ça l'état de l'art, hein) !), c'est aussi ton routeur... tes switchs 1,2,3 ne doivent donc pas être attachés au switch0 mais à des interfaces du firewall

Donc je vais oublier l'idée de mettre le firewall sur le server

Oui cela existe en OSM. Faut bien faire gaffe car le L2 et L3 sont bien distingués. OBS peut proposer les 2 alors que SFR le L3 c'est pas gagné (sur l'appel d'offre que j'ai sous les yeux en tout cas).

tu as regarde du cote de ca http://france.checkpoint.com/uploa [...] ce_500.pdf
 
ca fait routeur/ ap/vpn/vlan/qos