Améliorer mon architecture réseaux avec PFSENSE
-
Bonjour,
j'aimerais amélioré mon architecture réseaux, qui est pour le moment pas très sécurisé et très basique.Je ne peux pas tous casser et tout remettre d'un coup, je dois donc y allé par étape.
ma première étape vas être celle ci :
on peut voir le réseaux de départ et les évolutions au fur et à mesure (j'en est qu'une pour le moment)
J'en est discuter sur le chat et voici le résumé :
<lysander>ychoucha_ - my home network is better than that :p</lysander>
je crois que je viens de me faire casser.
<lysander>ychoucha_ - can you configure vlans on your switch, or do you have multiple switches/ports on your firewall ?
<lysander>ychoucha_ - I would try and work towards having one interface per zone - the sme-server should be in a dmz zone.. , the other devices could be 'inside' and the adsl-facing outside is fine.
<lysander>vlans can let you share physical interfaces, if your cards and switch support them and you know what you are doing ;)
<lysander>but single-interface-per-zone is still fine if you have enough of them..
<lysander>simplement, je pense que dans ton network le pfsense dois etre le seule routeur - pas le sme-server!</lysander></lysander></lysander></lysander></lysander>ok donc pour résumer j'étudie ce qu'est un VLAN(surtout comment l'utiliser sur mon matos), une DMZ (surtout comment l'implémenté dans ma archi), j'ai aussi mis à jour mon schéma pour que la SME ne fasse plus routeur.
Mes question en cours :
- Comment gérer le OPENVPN ?
- Ajouter le serveur dans la DMZ
- mon active directory ou doit il étreplacer dans la dmz ou sur le réseaux des machines ?
- Je n'est que deux cartes réseaux sur ma machine qui me servir à pfsense.
merci à vous.
-
Aucun des deux schémas n'est correct sur le plan sécurité. Il vous faut 3 interfaces réseau sur Pfsense.
mon active directory ou doit il étreplacer dans la dmz ou sur le réseaux des machines ?
Si vous n'avez pas besoin d'AD dans la dmz, surtout ne l'y mettez pas. Si vous en avez besoin, c'est un vrai problème qu'il faut regarder. Le fonctionnement d'une machine Windows appartenant à l'ad du lan et placée dans la dmz est un gros problème. Le nombre de port à ouvrir et le nombre de services à faire tourner est tel que la dmz se transforme vite en passoire.
Je connais de très grosses structures où la politique de sécurité interdit les machines Windows en dmz. J'en connais d'autres où ce type d'architecture (un serveur IIS membre du domaine interne et placé en dmz) a permis, à cause d'une faille applicative et de l'exécution du service IIS (ancienne version) sous le compte administrateur, de casser 70% des mots de passe et de pendre le contrôle du contrôleur de domaine.
Prudence ! -
Merci pour tes réponses je vais mettre à jour mon shéma, le probléme c'est que je n'est pas de carte réseaux supplémentaire sur ce serveur qui vas contenir pfsense.
même si c'est pas sécurisé, j'aurais toujours la possibilité d'avoir les stats de pfsense.
et d'avoir la possibilité s'utiliser OPENVPN (Quand j'aurais trouvé comment ça marche).merci je vais voir comment mettre une DMZ.
Une petit question à propos du serveur AD windows 2003, car en fais j'ai une ferme de serveur, j'ai un serveur de fichier, mais aussi serveur TSE.
Est ce que c'est machine doivent aussi étre dans une DMZ ou il peuvent être dans le réseaux ?merci
-
Bonjour, à tous
j'ai refais mon architecture qu'en pensez vous svp ?
Le plus important est l'étape 2, car sur l'étape 1 je suis obliger d y passer car ma sme ne peut pas ếtre enlever, car il y a beaucoup de service important dessus, donc la je compte faire mon install comme dans l'étape1, puis quand j'aurais terminé de vider les services de la sme je passerais à l'étape2.
qu'en pensez vous svp ?
-
pour le shéma etape2 , pour les seveur Ubuntu qui sont dans le réseaux 192.168.5.0 il faut que je fasse uniquement des routes dans pfsense pour être accessible sur mon réseaux ?
-
Pour l'OpenVpn, j'ai fais des tests, mais j'ai toujours pas réussi à m y connecter.
merci d'avance
-
