Aide architecture vlans + pfsense



  • Bonjour,
    Je travail dans une entreprise de taille moyenne entre 50 et 70 postes et on me demande de trouver des solutions OpenSource à une nouvelle architecture du réseau de l’entreprise, j’ai donc regardé plus en détails les différents firewalls OpenSource.
    En premier lieu j’avais choisi Packet Filter comme firewall/routeur, mais je viens de trouver PFsense qui me permettrait d’autres fonctionnalités assez intéressantes pour nous.
    N’étant pas super expérimenté et non plus expert en réseau je me pose plusieurs questions :

    1. Est-ce que l’architecture en pièce jointe est acceptable ?
    2. J’aurai voulu savoir si avec pfsense je peux faire un lien logique 802.1q au lieu de faire 4 liens physique (donc 4 cartes réseau) comme indiqué sur le schema ?
    3. N’étant pas expert est ce qu’il me sera difficile d’utiliser PFsense (deux liaison internet, QoS suivant utilisateurs de certains VLANS, routage inter-vlans, VPN, etc …) ?
    4. Vous me conseillez d’utiliser seulement packet filter ou pfsense répond vraiment bien à mes besoins ?

    Merci pour votre aide et pour votre temps …




    1. Oui, c'est du standard.

    2. Oui, il suffit de déclarer les 4 VLAN sur la même interface physique (dans le menu Interfaces/Assign/Vlan) puis de les accepter en Taggé sur le port du switch.

    3. pfSense, c'est magique, il y aura quelques limitations sur la QoS en version 1.2.3 mais celà ne devrait pas vous géner plus que ca.

    4. Utilisez pfSense, définitivement.



  • pfsense répond vraiment bien à mes besoins ?

    1.   Est-ce que l’architecture en pièce jointe est acceptable ?

    Vos besoins ne sont exprimés nulle part. Il n'est donc pas possible de répondre à ces questions.

    Globalement, mais de façon totalement abstraite et déconnectée de la réalité technique de votre entreprise, votre schéma d'architecture n'est pas absurde. L'architecture est acceptable certes, mais est ce vraiment celle qui convient ?
    Pour apporter un début de réponse une première question concerne le Vlan destiné aux serveurs. Quels serveurs dans ce vlan.
    Pourquoi des Vlans et pas des interfaces physiques ?
    Compta, direction, quels arguments pour le cloisonnement ?

    Tout cela est technique mais ne couvre pas la question essentielle. Quelle politique de sécurité chez vous ? En d'autres termes, quels sont vos principaux risques à couvrir (à réduire) et quelle probabilité d'occurrence de ces risques. Comme vous le voyez la technique vient ensuite.

    PS : Sinon Pfsense c'est très bien et souple. Donc a priori vous allez trouver votre bonheur.



  • Dans un premier temps merci d'avoir répondu si vite, je vois qu'il y a une communauté compétente et active ce qui me réconforte dans mon choix pour ce firewall.

    Pour ce qui est du Vlan Serveur:
    Il contiendra des serveurs de base de données, des serveurs de fichiers, une GED, etc.
    Nous aimerions les sécuriser et les ouvrir un minimum au réseau interne et surtout externe, c'est pourquoi je me suis dis que de les mettre dans un Vlans me permettrai déjà d'étanchéiser un peu la chose.

    Les differents services (donc Vlans) ne se parlerons pas c'est pourquoi la aussi nous avons choisi les Vlans.

    Les différents services accèdent à internet soit sur une liaison LS, soit sur une connexion Free. Certains y accèdent via un proxy, pour limiter l'accés en entré comme en sorti et d'autres non pas de restrictions.La aussi la notion de QoS va jouer certains n'aura pas autant de bande passante que d'autres.
    Une question me viens justement, et il possible de faire proxy sous pfsense?

    Par la suite nous aimerions mettre en place un système de VOiP et donc la aussi faire de la QoS, je me doute que je n'aurais pas de problèmes et que pfsense supporte la VOiP?

    Pour ce qui est de la politique de sécurité, notre priorité est de sécurisé les serveurs des menaces interne comme externe. Nous avons préféré opter pour une architecture en Vlans afin d'étanchéiser, et controler un peu plus l'accès à certaines données.

    Mais je suis ouvert a toutes propositions, je ne suis pas expert en la matière et donc très content d'avoir des remarques ou des solutions différentes, plus appropriés.


    n3j1



  • Hihi, voici un post qui va user le clavier de CCNET ;-)

    Pour le proxy on en déconseille fortement l'utilisation sur la brique firewall.

    Je vous conseille de monter un serveur proxy (Squid+tous les modules qui vont bien) dans le VLan serveur, puis d'utiliser ce proxy pour la navigation Internet. De plus squid possède une fonctionnlité de limitation de bande passante et de gestion de celle-ci en fonction de tout un tas de paramètres associables via les ACL (type de contenu,plages horraires, utilisateurs etc).



  • Je vais essayer d'économiser mon clavier.
    Le proxy c'est fait. Les différents Vlans pour la segmentation du réseau local c'est bon pour moi aussi.
    Pour la dmz je fais une suggestion et une remarque.
    J'utiliserai une interface physique plutôt qu'un Vlan. Le saut de Vlan n'est pas impossible. La marque est le modèle de switch ne sont pas indifférents.

    La remarque : Le diable est dans les détails

    Il contiendra des serveurs de base de données, des serveurs de fichiers, une GED, etc.

    Ce qui me laisse dubitatif c'est le dernier mot : etc. Le fond de la question est à propos de la dmz. Les serveurs qui s'y trouvent reçoivent-ils tous du trafic entrant (ouverture de connexions tcp venant de l'extérieur) ou bien certains, un serveur de mails par exemple, est il à l'origine d'un trafic sortant. De mon point de vue on ne devrait pas mélanger les deux types de trafic dans une même dmz. Si des serveurs sont destinés à être accessible depuis Internet, il devrait exister une machine avec un reverse proxy pour filtrer les requêtes entrantes afin de prévenir les tentatives d'injections de toutes sortes. Selon le degré de sécurité souhaité le reverse proxy et les serveurs applications ne seront pas dans la même zone.

    Mon clavier est encore utilisable.
    Bonnes fêtes.



  • Le "etc" vient du fait qu'il y aura surement d'autres serveurs par la suite, genre serveur de supervision, serveur VOiP, LDAP et surement d'autres … je vous ai indiqué les plus important.

    Je prend en compte ta suggestion et je me rend bien compte que de mettre les différents Serveurs dans un Vlan peut poser des problèmes, justement sur le trafic entrant et sortant de certains des serveurs (exemple: serveur de mail).

    Certains serveur ne doivent pas être accessible d'internet, je voulais les mettre dans un Vlan et faire des règles qui permettrai aux autres Vlans d'y accéder. Mais si j'ai bien compris, tu me conseil une interface physique pour ce type de serveurs.
    Ensuite pour les autres serveurs, ce qui sont accessible du net ou qui sont a l'origine de trafic sortant (exemple: serveurs web, mail), les mettre dans une DMZ avec un reverse proxy, voir plusieurs suivant le degré de sécurité des différents serveurs.

    joyeuse fêtes à vous aussi.



Log in to reply