Projet en cours - par une équipe de Bénévoles



  • Bonjour tout le monde,

    Voilà, nous sommes une équipe de 5 personnes qui se sont portés volontaires pour aider une université. Nous sommes tous des ex de cette université. A part 1 seul d'entre nous qui connait plus ou moins debian, les autres s'y sont mis sérieusement.
    Donc, à l'avenir vous risquez de nous voir très régulièrement sur le forum.

    Après des tests très concluants, sur un petit réseau bien sur, nous sommes toujours dans l'incertitude de pouvoir utiliser définitivement Pfsense. Nous n'avons pas encore testé toutes les fonctionnalités (Load Balancer, Fail Over, VPN et Vlan, Squid et autres).

    Le Projet :
    Notre projet est donc de pouvoir mettre en place :

    • Une solution de sécurité par le Firewall de Pfsense.
    • Desservir Internet pour toutes les structures (Administrations, Facultés, Instituts, Résidences etc.), ceci à travers 2 liaisons Internet Haut débits de 100 Mo et une ancienne de 20Mo. Le projet est né justement avec la dotation par l'état des 2 liaisons de 100 Mo.
    • Interconnecter par VPN les 6 Sites distants de l'université. (Géographiquement éloignés)
    • Permettre l'utilisation de Vlan au niveau des sites.
    • Bien sûr permettre l'exploitation de plusieurs Serveurs (Base de données, Mail interne et externe, Webserver, Ftp etc.)
    • Et dans notre intérêt prévoir à l'avance la possibilité d'utiliser des serveurs d'audit et d'historique de navigation (Une loi pour ces mesures a été déposée pour appréciation) comme en FRANCE la loi HADOPI.
    • Validité de connexion directe pour les postes ou users connus, par mot de passe pour les users connus utilisant leurs propres moyens, par compte et mot de passe (payant) pour les itinérants ou passagers.
    • Évidement, sur du filaire ou du Wifi.

    Pour ne pas embêter, les membres du forum, nous avons parcourus les posts pour plus d'informations, nous avons chacun notre documentation (acquise un peu partout) et nous avons chacun une copie du livre de Christopher M. Buechler "Psense The definitive Guide". En finalité, nous nous sommes entendus de nous inscrire sur le forum pour évaluer en votre compagnie les différents besoins que nous pourrions avoir dans le futur.

    Désolé pour la présentation trop explicite. :D.

    Notre schéma final est en cours de finalisation, en sachant que nous allons utiliser l'existant de l'université (En y apportant des modifs si nécessaires), je posterais le schéma même sans détails afin de savoir au moins l'infrastructure (Les objectifs viendront).

    1ère question : Quel serveurs (Caractéristiques) peuvent prendre en charge environ 18000 accès (disons 6000 simultanés). En sachant déjà que ce seront des serveurs en FAILOVER, un ou plusieurs LDAP sous 2008 avec contrôleurs secondaires.
    Les chiffres donnés sont réels pour l'université Centrale, les autres Sites sont nettement inférieurs.

    2éme question : J'ai déjà apprécié la possibilité de mettre squid indépendamment de Pfsense (J'ai vu qu'on y insiste) mais sous quel OS, est il préférable d'utiliser Squid ou autre chose.

    3éme question : Même chose pour les dmz (en sachant que à 80%, le choix des solutions de webserver, mail, base de donnée et autres se porteront sur des plateformes windows).

    J'espère que nous pourrions compter sur votre aide. Je sais que les questions posés sont vagues car il n'y a pas encore de détails (mais ça viendra).

    Je vous remercie d'avoir perdu un peu de votre temps en nous lisant.

    A la prochaine.



  • Bonjour,

    J'en déduit que vous n'êtes pas en France  :)
    Pour votre projet, pfSense sera une brique robuste, il faudra toutefois l'associer à d'autres équipements.

    Réponse 1: pour de telles charges, optez pour du matériel profesionnel de type IBM, DELL ou HP. J'ai une préférence particulière pour les matériel HP pour leur niveau de compatibilité matérielle avec freeBSD. Dans votre cas, en fonction du nombre d'interface Giga voulu et du débit, je partirai sur un cluster de DL360 ou DL380, mono CPU Quad core@2,66Ghz et 4Go de RAM, carte Giga à base de chip Intel.

    Réponse 2: en effet, dédier une machine à squid est une bonne chose. Pour le système d'exploitation je vous conseille Linux ou FreeBSD (la version windows de squid se traine en accès cache). Pour la distribution Linux, choisissez celle sur laquelle vous êtes les plus à l'aise. Personnellement j'utilise CentOS (clone Redat Enterprise) pour sa maturité professionnelle (outils d'exploitation, support matériel, performance générale, réactivé aux failles de sécurité, qualité de l'arbre Yum) et son adoption par les grands acteurs informatique (TrendMicro base ses appliances de sécurité sur CEntos, VMWare base ses appliances logicielles telle que DataRecovery ou Zimbra sur Centos).
    Debian est également un bon choix, moins orienté production de masse et nécessitant un peu plus d'attention, mais c'est un socle très robuste. Pensez à optimiser avec soin le filesystem qui abritera le cache de squid (noatime, utilisation de riserFS etc.). Pour FreeBSD, utilisez la derniere stable. Et sinon, quelque soit l'OS, utilisez du 64 bit.
    Enfin, pour le placement du proxy, placez le en LAN ou en DMZ Privée (parfois appelé bunker serveurs ou bastion privatif), pas en DMZ publique car si il nécessite de l'authentification votre design imposera une porosité du système d'authentification dans une zone de confiance modérée.

    Réponse 3:
    Le design c'est le plus important. N'hésitez pas à segmenter vos zones de confiance. Isolez les serveurs privés du réseau des postes clients. Utilisez une DMZ publique de publication des applications devant etre accessibles de l'extérieur. Utilisez des reverse proxy ( par exemple pour HTTP/HTTPS: Apache+mod_proxy+mod_rewrite+mod_sec+mod_deflate+mod_ssl). Avec Pfsense vos liaisons intersites pourront etre réalisée via IPSEC ou OpenVPN. Vous pouvez également utiliser pfSense en appliance VPN nomade (openvpn) en la plaçant en DMZ. Beaucoup de choses sont possible.

    Bonne chance pour votre projet.
    Mettez vos idées sur le papier avant de partir dans la réalisation, et soumettez-les nous. Dans la mesure du possible nous donnerons nos conseils



  • Je partage intégralement les avis de Juve. J'y ajouterai que pour un linux, Ubuntu LTS (Long Term Support) est à considérer. Le critère de la maitrise que vous avez d'une distribution Linux reste essentiel. Utilisez ce que vous connaissez bien.



  • Bonjour,

    Super, tout d'abord, nous vous remercions pour vos réponses, je n'imaginais pas que c'est aussi rapide.

    Comme le dis si bien Juve, il est indispensable de choisir du matériel pro, effectivement, nos choix ce sont portés sur du HP (pour la compatibilité hard), personnellement, j'étais plutôt pour de l'IBM (car moi même certifié dessus), mais l'esprit d'équipe l'emporte et la réalité encore plus. Maintenant, du DL ou ML, je ne sais pas, sans vous le cacher, l'investissement chez nous est une affaire, disons "TABOU"  ;D.
    Bref, nous verrons cela lorsque nous terminerons le schéma global de la solution.
    Cependant, j'ai vu sur un des posts qu'il vaut mieux, pour diminuer le nombre d'interfaces d'utiliser des vlans. Je vous confirme donc qu'un de nos objectifs est justement d'utiliser des Vlans et que pour se décharger un peu de notre boulot, il sera exclusivement fait par des étudiants (il y aura environ 160 switch CISCO de Niveau 2 et 3), ça leur fera de l'exercice (et pour nous aussi  ;D). Question communication, il y aura bien-sûr pas mal de sous-réseaux sur une même plage d'adresses mais aussi des plages d'adresse différentes qui pourront communiquer entre eux (par le biais des switchs niveau 3).

    Voilà, si je résume bien, à part les plate-formes d'exploitation qui seront eux sous Windows - LDAP, Exchange, SQL, Autres (nous ne pouvons changer car déjà en exploitation sous une forme archaïque) tous les autres seront soit sous freebsd, Centos ou Ubuntu LTS.

    PS : Juste un détail sur lequel je ne suis pas fixé, peut on utiliser Pfsense comme DMZ (Je pense que oui (Routeur), mais j'ai un doute), le doute s'est installé en se référant à la question de SQUID.

    Merci pour vos précieuses lumières.

    A bientôt.


Log in to reply