Comment sécuriser son réseau après connexion pfsense?
-
Dans ce schéma partiel, qu'est ce que routeur ?
point d'accès–----(LAN)Pfsense(WAN)-----Modem/Routeur------Internet
. .
. .
. .
client(invité) Switch--------Server Windows 2008
.
.
.
PC(entreprises)La formulation est insuffisamment précise. Il vous faut y travailler plus précisément. On ne fait de la sécurité en disant "j'aimerai". Il ne s'agit pas d'aimer ou pas. Votre approche est trop floue. Il faut décrire des objectifs, des moyens, des contrôles, etc …
1. Les utilisateurs(invités) pour se connecter à internet doivent passer par le portail captif avec authentification.
2.Que ce soit avant ou après l'authentification, les utilisateurs qui se connectent au point d'accès ne doivent pas pouvoir accéder au réseau local de l'entreprise!! c'est à dire isolés les utilisateurs invités.
3.Je veux isoler le réseau de l'entreprise de celui des invités (utilisateurs externes)!! Dois-je forcement mettre en place une DMZ?Est-ce que avec les infrastructures (cités sur le schémas) dont je dispose tout cela est possible?
J'espère avoir été un peu plus precis maintenant??
Merci
Cordialement -
C'est mieux. D'après le schéma on ne voit pas comment le réseau interne est protégé. Si c'est par le modem routeur, c'est insuffisant car c'est, le plus souvent, un équipement appartenant au fournisseurs d'accès donc un équipement non maitrisé. On ne peur faire reposer la sécurité sur un élément non maitrisé.
En ce sens l'architecture est impropre à offre le niveau de protection souhaité.
Oui le point d'accès doit être connecté à une interface dédié du firewall qui devrait exister. Donc plutôt cela :point d'accès–----(LAN)Pfsense(WAN)-----Firewall---------Modem/Routeur------Internet
. .
. .
. .
client(invité) Switch--------Server Windows 2008
.
.
.
PC(entreprises)Ou bien
point d'accès--------------------------(dmz)-----Pfsense-----(WAN)-----Modem/Routeur------Internet
.
. (LAN)
. .
. .
. .
client(invité) Switch--------Server Windows 2008
.
.
.
PC(entreprises) -
point d'accès–------------------------(dmz)-----Pfsense-----(WAN)-----Modem/Routeur------Internet
.
. (LAN)
. .
. .
. .
client(invité) Switch--------Server Windows 2008
.
.
.
PC(entreprises)Je vais opter pour cette solution!! Je monte une 3e carte réseau pour configurer la DMZ!!
J'ai exactement la réponse à mes questions. Grand à vous tous!!!
Cordialement!!! -
Attention, çà reste une configuration très basique.
-
Attention, çà reste une configuration très basique.
Pourquoi et que proposerais-tu de moins "basique" fonctionnellement ?
Le réseau wifi "guest" est isolé sur une DMZ. On pourrait le faire via un VLAN mais fonctionnellement, c'est identique ou presque. -
L'isolation, dans cette solution, est purement logique. La défense en profondeur est limitée. Il est possible d'aller vers une isolation physique à différents niveaux. En vrac : firewall en coupure, proxy dédié, ip publique destinée à cette seule navigation (invités), opérateur télécom différent, séparation du réseau d'administration (bornes wifi) … Liste non limitative. C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.
-
L'isolation, dans cette solution, est purement logique. La défense en profondeur est limitée. Il est possible d'aller vers une isolation physique à différents niveaux. En vrac : firewall en coupure, proxy dédié, ip publique destinée à cette seule navigation (invités), opérateur télécom différent, séparation du réseau d'administration (bornes wifi) … Liste non limitative. C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.
Parfois aussi y a le coût de déploiement!! Il est vrai que la sécurité n'a pas de prix mais pour une petite entreprise, il faut proposer des solutions en fonction du budget aussi. Ce qui explique mon choix de 3e carte réseau. Elle est peut etre basique mais je crois que actuellement elle peut convenir à l'entreprise. Mais lorsque le réseau de l'entreprise va évoluer dans les années à venir, il faut passer à un autre niveau de sécurité plus important que cela.
-
Attention, çà reste une configuration très basique.
Pourquoi et que proposerais-tu de moins "basique" fonctionnellement ?
Le réseau wifi "guest" est isolé sur une DMZ. On pourrait le faire via un VLAN mais fonctionnellement, c'est identique ou presque.Oui exactement!! Si le réseau "guest" est isolé sur une DMZ, le réseau local sera sécurisé tant que la connexion se fait en wireless à partir du point d'accès!
-
C'est encore une fois une question dont les réponses dépendent du niveau du besoin de sécurité. Le plus souvent la solution basique convient.
je ne saurai être plus clair.
Mais lorsque le réseau de l'entreprise va évoluer dans les années à venir, il faut passer à un autre niveau de sécurité plus important que cela.
Analyse erronée. Le niveau de sécurité ne dépend pas de la taille de l'entreprise. Il dépend notamment des risques encourus qui sont caractérisés par leur niveau d'impact intrinsèque et leur probabilité de survenance. Ce qui est vrai est l'aspect évolutif, parce que les riques et les enjeux ne sont pas statiques.
-
Analyse erronée. Le niveau de sécurité ne dépend pas de la taille de l'entreprise. Il dépend notamment des risques encourus qui sont caractérisés par leur niveau d'impact intrinsèque et leur probabilité de survenance. Ce qui est vrai est l'aspect évolutif, parce que les riques et les enjeux ne sont pas statiques.
Oui c'est vrai!! C'est une erreur de ma part de penser ainsi. On peut avoir un petit réseau mais avec des données très sensibles qui nécessitent une protection maximum, donc un niveau de sécurité plus élevé.
Merci pour votre éclaircissement @ccnet