Votre avis sur une architecture.

titofe

Bonjour,

D'ici quelque semaine je vais être amener à modifier toute l'infrastructure du réseau de l'entreprise.
Cela fait maintenant pas mal de temps (en année) que je m'en occupe et pour ceux qui me connaisse pas sur Ixus je suis autodidacte (je rassure depuis j'ai déjà quelque formation et stage à mon actif, car j'aime ce que je fais et je tien à bien le faire).

Donc pourquoi je poste ici, la distribution qui serra utiliser est Pfsense qui remplacera des IPCop.

Aujourd'hui mon entreprise est composer de plusieurs sites et sur chaque site il y a un IPCop qui à la gestion du VPN en IPsec pour le réseau à réseau, du VPN OpenVPN pour les nomades, DNS, Proxy et pour le site principale d'une DMZ Interne (donc aucune entrer de l'extérieure ;) ) pour le serveur de Messagerie (SME serveur qui utilise Fetchmail) ce qui permet entre autre de ne pas faire sortir les mail internes des sites.

Aujourd'hui ces sites utilise l'Adsl, dans quelque semaines ce la va être remplacer par de l'Sdsl sur tous les sites et de l'Adsl en supplément sur le site principal.

Donc le site principal aura une connexion Sdsl et une Adsl, c'est pour cela que mon choix c'est porter sur pfsense, car sauf erreur de ma part IPCop en natif ne gerer pas plusieurs WAN.

Ceci dit, petit schéma de ce que j'ai en tête actuellement pour le site principal:

Alors vous allez me dire, quelle est la question ?
Comme je suis amenez à faire de grand changement suite à notre nouvelle connexion externe autant le faire bien et dans profiter pour rectifier quelque lagune que pouvez éprouver l'ancien réseau.

Ce que je veux faire:

La 1er serrai de pouvoir utiliser les deux connexion, SDSL pour ce qui est du VPN site à site, nomades et Adsl pour le surf;
La 2eme serrai de séparer le Proxy du Firewall et de le placer dans la DMZ interne avec le Serveur de messagerie;
La 3eme serrai que les sites distants puisse eux aussi utiliser le Proxy du sites principal (la j'ai un gros doute ...);

Donc on va dire pour le moments que la question principal et que pensez vous de ce schéma ?
Pensez-vous qu'il répond correctement à mes besoin et à ça sécurité. (On n'est pas à la NASA, mais il serrai dommage de faire tout ça pour ne pas être protéger au maximum de ce qui peux être fait)

J'ai vraiment besoin d'échange, donc n'hésiter pas à donner votre avis, bon ou mauvais à entendre (je veux dire à entendre par mes oreilles ;D ).

Il est aussi possible que j'ai omis des détailles ou qu'il vous manque des infos, n'hésiter pas à m'en faire part.

Cdt,

Titofe

ccnet

Je suis d'accord sur le principe (cloisonnement en 3 zones plus internet) mais un seul Pfsense est suffisant pour cela.

La présence d'un relais smtp classique en dmz serait une bonne chose. Je ne sais pas ce que vous avez envisagé mais un Postfix serait parfait.

Si vous deviez mettre à disposition un service de webmail, il faudra prévoir un reverse proxy, aussi en dmz Externe, tel que Vulture.

La 1er serrai de pouvoir utiliser les deux connexion, SDSL pour ce qui est du VPN site à site, nomades et Adsl pour le surf;

Aucune difficulté avec le policy routing. J'utilise ce type de répartition très régulièrement. Le vpn ssl (nomade) sera nécessairement monté sur l'interface Wan sauf à modifier manuellement ( ? ) le fichier de conf du serveur Openvpn ce qui ne me semble pas neutre.

La 3eme serrai que les sites distants puisse eux aussi utiliser le Proxy du sites principal (la j'ai un gros doute …);

Possible aussi, reste à voir si vous faites du proxy transparent ou pas. Il y a pas mal de détails d'implémentation à regarder.

être protéger au maximum de ce qui peux être fait

Oui, c'est la seconde partie de la phrase qui est importante. La sécurité maximum étant une vue de l'esprit, il est important en effet de considérer ce qui est faisable. Il est utile aussi d'évaluer les risques et ce qui est important à protéger chez vous pour employer les moyens adaptés.

titofe

Je suis d'accord sur le principe (cloisonnement en 3 zones plus internet) mais un seul Pfsense est suffisant pour cela.

Je penser que cela apporter un plus niveau sécurité.
J'avais bien vue que Pfsense pouvais avoir plusieurs zone, pour ce qui m'intéresse 5 (2 Wan, 1 Dmz Externe, 1 DMZ Interne et Réseau Interne), mais il est vrai que cela me demande une dépense supplémentaire d'environ 150€ x 2 pour une carte PCI Expresse avec deux ports RJ45, car le Dell PowerEdge860 n'a que deux extension PCI; je dit ça, mais je rappel que je suis plus accès sur la sécurité que sur la dépense, mais si l'un peux ce faire avec l'autre et comme je l'ai dit je penser réellement apporté un plus avec ce 2eme Pfsense.
A savoir j'ai la possibilité d'installer les deux Pfsense et même de doubler celui en amont (que je compte faire au passage) sans faire une seul dépense.
(Après réflexion je préféré faire l'architecture qui semble la plus simple et dite par ccnet, je m'explique plus bas)

La présence d'un relais smtp classique en dmz serait une bonne chose. Je ne sais pas ce que vous avez envisagé mais un Postfix serait parfait.

Pour le moment rien de bien précis, j'en prend note, il est vrai que j'aime bien les applis avec une gestion sur page WEB, je me sens plus rassurer, même si les vrai modif ce font en ligne de commande.

Si vous deviez mettre à disposition un service de webmail, il faudra prévoir un reverse proxy, aussi en dmz Externe, tel que Vulture.

Il est vrai que cela fait un moment que je veux pouvoir offrir au personne de l'entreprise un accès à leur mail de l'extérieur, mais je ne l'ai jamais fait car mon réseau ne si prêtais pas.

… Le vpn ssl (nomade) sera nécessairement monté sur l'interface Wan sauf à modifier manuellement ( ? ) le fichier de conf du serveur Openvpn ce qui ne me semble pas neutre.

Je ne saisie pas l'interrogation que tu porte sur le VPN nomades et j'ai peur de passer sur quelque chose, peux tu m'en dire plus?

La 3eme serrai que les sites distants puisse eux aussi utiliser le Proxy du sites principal (la j'ai un gros doute …);

Possible aussi, reste à voir si vous faites du proxy transparent ou pas. Il y a pas mal de détails d'implémentation à regarder.

Il ai transparent aujourd'hui et ne le serra pas dans cette nouvelle architecture.

… La sécurité maximum étant une vue de l'esprit, il est important en effet de considérer ce qui est faisable. Il est utile aussi d'évaluer les risques et ce qui est important à protéger chez vous pour employer les moyens adaptés.

Ce que je recherche c'est le meilleur dans celle que je peux effectué, je rappel je suis seul, donc ça a c'est limite, je ne peux pas faire une surveillance 24/24 par contre il faut que je puisse toujours avoir accès au réseau, d'où aussi le double Wan et par la suite le 2eme Pfsense en amont, si il y a un problème il faut que je puisse accédé.
Bien sur le Réseau Interne doit être le mieux protéger et toute donnez qui ce retrouverons sur la DMZ aura étais dit comme donnez non sensible.

Tout en écrivant ces ligne je me rencontre du problème que va m'apporter ce 2eme Pfsense (2), si lui HS, moi je n'ai plus accès au Réseau Interne et cela je ne peux pas.
Donc suite à cela je vais me pencher sur le problème, je pense que je vais pour le moment (cette année) ne pas faire de DMZ Externe et le ferais l'année prochaine, ce qui me demande plus que 4 Zone sur le Dell PowerEdge860, ce que je peux faire actuellement.

Donc je vais partir sur ce réseau:

Qu'en pensez-vous ?

Cdt,
Titofe

sigmarus

Bonjour,

@titofe:

Tout en écrivant ces ligne je me rencontre du problème que va m'apporter ce 2eme Pfsense (2), si lui HS, moi je n'ai plus accès au Réseau Interne et cela je ne peux pas.

Juste pour information, Pfsense permet le Fail-Over. Si tu investis dans une deuxième machine je pense que ça ne serait pas du luxe.

Cdt,

Sig

titofe

… Pfsense permet le Fail-Over. Si tu investis dans une deuxième machine je pense que ça ne serait pas du luxe.

Complètement d'accord, c'est que je voulais dire quand je parlais de doubler le Pfsense en amont, et c'est pourquoi je me retourne vers ce que dit ccnet, enlever le deuxième Pfsense, car "si" il n'apporte rien au niveau de la sécurité, autant l'enlever pour éviter les pannes matériel.

Comme je l'ai dit plus haut, je suis seul, il faut qu'à n'importe quel moment et surtout quand je ne suis plus dans l'entreprise pouvoir accédé à la totalité du réseau.
Je n'en avais pas encore parlais parce que je veux faire ça en deux étape, pour le moment sécurité réseau, par la suite matériel.

Cdt,
Titofe

ccnet

Si la disponibilité est critique le montage de Pfsense en Cluster est une solution qui se monte avec facilité.

Quote
… Le vpn ssl (nomade) sera nécessairement monté sur l'interface Wan sauf à modifier manuellement ( ? ) le fichier de conf du serveur Openvpn ce qui ne me semble pas neutre.
Je ne saisie pas l'interrogation que tu porte sur le VPN nomades et j'ai peur de passer sur quelque chose, peux tu m'en dire plus?

Imaginons que vous ayez un range d'ip publiques /29 par exemple 101.102.103.104. (le réseau est 101.102.103.104 et le broadcast 101.102.103.111). Si vous affectez à Pfsense la première ip disponible 101.102.103.105 (interface Wan) alors les clients vpn, dans le fichier de configuration client devront se connecter à cette ip. Je ne connais pas les effets de bord potentiels si l'on souhaite utiliser par exemple 101.102.103.108. Rien dans l'interface de Pfsense à mon avis ne permet de le faire. Si on modifie manuellement le fichier sur le serveur OpenVPN je ne sais pas comment l'ensemble se comporte. En d'autres termes j'ignore si l'on peut affecter l'ip publique du vpn à une ip virtuelle de Pfsense.

titofe

Ok, je ne n'avais pas compris.

Donc oui je le ferais directement sur le Wan, SDSL pour le réseau à réseau et les clients nomades, SDSL et ADSL pour moi.

Je m'explique, le réseau à réseau et les nomades passerons par la SDSL car elle est là pour ça et si il y a une panne il attendrons.

Le Fail-Over sera la que pour ceux qui sont à "l'intérieure" du site principal et moi quand je suis à l'extérieure, je ne travaille peut être pas 24/24, mais je suis belle et bien accessible 24/24, je suis le seul informaticien sur place.

Par contre si j'ai bien compris je fais bien mes VPN directement sur Pfsense mais avec les IP public et non avec les IP virtuel.

Cdt,
Titofe

titofe

Je viens de poser mon projet sur papier ce qui ma permis de me rendre compte qu'il me faudra en tous 6 port RJ45 par Pfsense.

Voici mon schéma fait à la main:
http://www.imagup.com/pics/1256863571.html

Donc en tous 6 Interface par Pfsense:

Sur le Wan:
DMZ (1) pour le routeur SDSL relier par un Switch 192.168.0.x
DMZ (2) pour le routeur ADSL relier par un Switch 192.168.1.x

Sur Le Lan:
Réseau Interne relier par un Switch 192.168.3.x
DMZ (3) Interne relier par un Switch 192.168.4.x
DMZ (4) Externe relier par un Switch 192.168.5.x

Interface de liaison:
Interface dédiée pfsync relier par câble croisé 192.168.2.1 pour Pfsense (1) et 192.168.21.2.2 pour Pfsense (2)

Les IP Virtuels:

IPv SDSL 192.168.0.253
IPv ADSL 192.168.1.253

IPv Réseau Interne 192.168.3.250

IPv DMZ (3) Interne 192.168.4.250
IPv DMZ (4) Interne 192.168.5.250

Pouvez-vous me dire si je suis en bonne voie?

Cdt,
Titofe

boyseur

Bonjour,

Ma config est la même que la votre à l'exception que j'ai q'un LAN et 1 DMZ ET surtout cela fonctionne parfaitement …

Bon courage pour l'installe

Juve

Ca marchera du tonerre :-)
J'en ai plein des setup de ce genre.
Pour économiser un peu de ports physique n'hésitez par à utiliser du Vlan tagging sur des cartes Gig (quoi qu'il arrive toujours préférer des cartes à base de chip Intel avec pfsense).

Joli schéma, à la règle en plus ! ;D ;D

titofe

@Juve:

Ca marchera du tonerre :-)
J'en ai plein des setup de ce genre.

C'est encouragent, par contre pour moi ça serra une première :)

@Juve:

Pour économiser un peu de ports physique n'hésitez par à utiliser du Vlan tagging sur des cartes Gig (quoi qu'il arrive toujours préférer des cartes à base de chip Intel avec pfsense).

J'ai ça en tête mais je n'oser pas le dire.

Voila l'idée:

Routeur SDSL et ADSL relier ensemble sur un Switch "D-Link DES-3028"

Relier à son tour à Pfsense(1) sur le 1er port physique du Dell PowerEdge 860, même chose pour Pfsense(2)

Le 2eme port physique de chaque Pfsense sera attribué à "l'interface dédiée pfsync"

et rajout d'une carte réseau dans chaque Pfsense pour l'attribuer à un Switch "D-Link DES-3052" pour le Lan Interne, la DMZ Interne et la DMZ Externe.

Je mais tous ça sur papier et je vous le poste.

Cdt,
Titofe

titofe

Donc comme promis voila ma nouvelle structure (schéma):

http://www.imagup.com/pics/1256933061.html

Il est claire que maintenant elle fait moins usine à gaz au niveau visuel ;) et un gain important en ressource matériel.
Donc avant de me lancer je voudrais avoir votre avis sur cette dernière, aussi bien sur l'infrastructure que sur sa sécurité.
Tout avis est bon apprendre, donc n'hésiter pas.

Cdt,
Titofe

sigmarus

Bonjour,

Très jolie la topologie ! ;)

Par contre j'ai une question concernant la synchronisation pour du Fail-Over :
Une troisième interface physique est bien sur l'idéal.

J'ai vu qu'il était déconseillé de mettre la synchro sur l'interface LAN (je comprend ^^). D'ou ma question :

Sur un système BladeCenter comment peut on gérer une troisième interface avec des lames ne possédant à la base que deux interfaces ? (Je pense plus particulièrement à Juve qui m'a dit avoir installé des Pfsense sur HS20).

Merci d'avance pour cette petite parenthèse.

Cdt,
Sig

titofe

@sigmarus:

Sur un système BladeCenter comment peut on gérer une troisième interface avec des lames ne possédant à la base que deux interfaces ? (Je pense plus particulièrement à Juve qui m'a dit avoir installé des Pfsense sur HS20).

Par ce que on peux en rajouter !

http://www-03.ibm.com/systems/fr/bladecenter/hardware/servers/hs20/features.html

Tu trouvera ta réponse dans "Interconnexions de serveurs lame" dans le lien que je t'indique.

Cdt,
Titofe

Juve

Le setup que j'ai sur HS20 utilise les deux cartes et ne sert que pour un portail captif filaire, pas de cluster.

Pour ce qui est des setup cluster j'utilise généralement ces matériels:
HP DL 120
HP DL 160
HP DL 320
HP DL 360
HP DL 380

IBM X3250
IBM X3550
IBM X3650

Cartes additionnelles Intel Gig Quad, en option IBM ou HP.

Switchs :
gamme procurve (1800,2500,2800,4200)
gamme cisco catalyst (28x, 37x)

Concernant le lien de synchro, 90% du temps il ne génère que peu de trafic. Maintenant, lorsque vous êtes sur des infra critiques qui sont souvent l'objet de flood ou d'attaques par saturation les liens de synchro "prennent cher". J'ai des setup qui prennent jusqu'à 100Mbits de trafic pfsync lors d'attaques. Dans le cas ou vous seriez full Gig sauf sur le lien de synchro (le drame), si l'accès WAN dépasse le débit du lien de synchro et se prend un flood supérieur au lien de synchro, cela va générer un IRQ Storm sur la carte de synchro et cela va paraliser un CPU de votre firewall. J'utilise systèmatiquement des CPU double ou quadruple coeurs en fonction de l'infra.

flood.png_thumb

sigmarus

Merci titofe pour ta réponse. Je vais chercher plus en détail pour voir ce qui est possible au niveau hardware.
Par contre je pense que ce que tu voulais m'indiquer était que l'ajout d'une carte Ethernet 3 voir 4 ports était possible; mais comme je pense que le prix d'une telle carte doit "creuver" le plafond (Bladecenter quand tu nous tiens ^^).

Donc au niveau logique y a t'il un moyen quelconque, magique ou même complexe à mettre en place ?

@Juve:

Le setup que j'ai sur HS20 utilise les deux cartes et ne sert que pour un portail captif filaire, pas de cluster.

Juve merci pour la précision sur la gestion et les risques du lien synchro. Donc tu n'utilises pas de lien synchro sur des lames HS ?

Merci d'avance.

Cdt,
Sig

ccnet

Adaptateur serveur PRO/1000PT 4ports OEM moins de 300,00 euros.

sigmarus

@ccnet:

Adaptateur serveur PRO/1000PT 4ports OEM moins de 300,00 euros.

oO si peu cher pour une pièce de Blade ! J'y cours de suite ! ;o)

Merci ccnet ,je me renseigne.

Cdt,
Sig

ccnet

Attention c'est une carte pci std Intel. Je ne sais pas si ca colle dans une HS20.

titofe

Ça avance, j'ai effectué quelque petit test qui mon l'aire très concluant.

Cela ma aussi permis de voir mes oublies.

Le VPN, pas les nomades, mais les Réseaux à Réseaux.
Actuellement il est en IPsec, effectué par les IPCop de chaque site, avec bien sur aucun routeur devants.
Mais demain (Bientôt) il y aura des routeurs et sauf erreur de ma par IPsec n'aime pas le NAT.

La seul solution que je connais est que je ferais si j'en trouve pas d'autre et de tout faire par OpenVPN.

D'apres vos esperiance, quel en sont les risques d'utiliser OpenVPN en mode Réseau à Réseau et qui en plus passe du NAT.

Cdt,