Avis conseils architecture réseau avec pfsense 2.0.2 + vlans

ccnet

Je confirme : les routes statiques sont inutiles. La seule solution pour éviter "le petit malin" est le NAC. Vous êtes dans le domaine médical, semble t il avec des données concernant les patients. Lorsque je vois le schéma je m'interroge sur la bonne expression du besoin de sécurité.

ritek

Bonjour,
Ccnet pourriez vous développer ce que vous entendez pas bonne expression du besoin de securite.
Que conseillez vous pour améliorer la sécurité sans forcement se baser sur ce schema.
Merci d avance .

ccnet

Sur ce forum on parle de sécurité d'un point de vue technique et principalement autour d'un produit. On y oublie très souvent que tout cela devrait être la conséquence, la traduction d'un besoin de sécurité. Le besoin de sécurité est le résultat d'une analyse des menaces, des vulnérabilités et des risques que cette conjonction fait naître et de leur impact sur l'organisation. Une menace forte face à une vulnérabilité exploitable fait naître un risque inacceptable pour l'organisation. Il faut donc le traiter. Cette description rapide inclue aussi les contraintes légales. Dans le secteur médical, la protection des données des patients est une obligation. C'est simplement la loi. Et ce n'est pas la survenance d'un sinistre ou d'un incident de sécurité qui conditionne les risques judiciaire. Le simple fait de ne pas mettre en œuvre les protections adaptées engage la responsabilité du représentant de la personne morale et vous expose à des poursuites. Cela même si aucun incident ne s'est produit.
Ces questions sont bien plus essentielles que ce dont il est question ici. En d'autres termes le choix d'une architecture réseau (qui est loin d être le seul point à traiter) n'est que la dernière étape et non la première. Il n'y a de pertinence dans un choix technique que si ils répond au traitement d'un besoin de sécurité clairement identifié. Dans le cas contraire on travaille en aveugle et on sera surpris brutalement un jour ou l'autre.

ritek

Je suis tout à fait d accord avec vous, malheureusement dans les faits du moins dans le cas expose ici (nicolas62300 étant en stage dans cette structure médico-sociale) il n y a pas de politique de sécurité digne de ce nom tout simplement parce que la direction n'a pas cette maturité sur le SI .

Si je devais établir le PSI (seul !!), le besoin actuel est la sécurisation du réseau au sens large pour répondre à la politique de Sécurité suivante :

-Cloisonnement des réseaux, interdire l’accès direct au réseau interne(pro).
-Filtrage des flux entrants sortants.Limiter les flux réseau au strict nécessaire.
-Traçabilité/journalisation des accès (réseau,internet,wifi …)
-Authentification des utilisateurs de Wifi.
-sécuriser l'accès distant de certaines données par la direction et certains cadres depuis des dispositif mobiles (portables )

J’espère répondre par ceci au besoin de sécurité .

La traduction technique serait :

-Utilisation d'un firewall en l’occurrence Pfsense .
-Utilisation de Vlans pour cloisonner les différents réseaux.Vlan pro ,vlan admin (pfsense ,switch …)Vlan wifi_pro ,vlan Wifi_etu,vlan lan_etu
-DMZ avec serveur Proxy et mise en place de WPAD,DC,serveur Syslog ...
-Portail captif pour l'utilisation du wifi.(quid de 2 vlans)
-Vpn ipsec pour accès aux données depuis dispo nomades et administration Pfsense.

Avez vous des conseils sur le principe de segmentation et l'utilisation des vlans que nicolas62300 a proposé .Nous avons comme contrainte la disposition du réseau "éclaté" sur plusieurs switch en "cascades"
d'ou l'utilisation des vlans .Nous ne pouvons pas séparer physiquement les réseaux (pas le câblage ni budget switch actuellement)

Un grand merci pour votre rigueur et votre professionnalisme à vous Ccnet, Juve et Jdh ( les gourous de pfsense ). Je suis entrain d'ailleurs de reprendre la plupart de vos interventions/remarques pour essayer enfin!! d'alimenter pfsense.fr (Faq wiki et howto)

Merci de vos conseils

ccnet

Je vois trés bien la situation. Il y a clairement un manque de maturité de la direction.
J'imagine aussi ce que peuvent etre les données collectées dzns un tel centre. Selon la définition de la Cnil ce sont probablement des donées sensibles. Des déclaration ont elles été faites ?
Pour vous éclairer sur ce qu'est une politique de sécurité et un besoin de sécurité, un exemple :
http://www.dgdr.cnrs.fr/fsd/securite-systemes/documentations_pdf/securite_systemes/PSSI-V1.pdf
Ce document est publique. Il est assez didactique dans son approche pour comprendre les choses et se sortir de la vision purement technique.

ritek

Pour ce qui est des données, il n' y a pas vraiment de soucis à proprement parlé. Nous utilisons des progiciels déclarés à la Cnil (gestion fine des droits,nous essayons autant que faire se peut de nous conformer aux recommandations de la Cnil). Ma demande de conseils se situe plus sur la partie réseau du document que vous citez.
Comment répondre techniquement au besoin de sécurité suivant :

Dans toute la mesure du possible le réseau interne doit être cloisonné afin d’isoler les
différents services et usages et limiter l’impact d’incidents. En particulier il est vivement
souhaitable d’isoler dans une zone semi-ouverte les services visibles de l’extérieur. De même
l’accès au réseau sans fil doit être contrôlé et le réseau doit faire l’objet d’un chiffrement
adapté.

Je m'en inspire d'ailleurs pour écrire le PSSI de ma structure ,un grand merci pour le doc,en effet très didactique.
Cela ne veut pas dire que les autres points ne sont pas pris en compte bien au contraire, mais la "mission" de nicolas62300 est de se conformer/répondre au PSSI pour la partie réseau.

Nous utilisons également les documents suivants :
http://www.ssi.gouv.fr/IMG/pdf/guide_hygiene_informatique_anssi.pdf
http://www.cnil.fr/fileadmin/documents/Guides_pratiques/CNIL-Guide_securite_avance_Mesures.pdf
http://www.nsa.gov/ia/_files/vtechrep/ManageableNetworkPlan.pdf

Un grand merci pour votre aide .

psylo

@ritek:

[…]
Comment répondre techniquement au besoin de sécurité suivant :

Dans toute la mesure du possible le réseau interne doit être cloisonné afin d’isoler les
différents services et usages et limiter l’impact d’incidents. En particulier il est vivement
souhaitable d’isoler dans une zone semi-ouverte les services visibles de l’extérieur. De même
l’accès au réseau sans fil doit être contrôlé et le réseau doit faire l’objet d’un chiffrement
adapté.

[…]

Pour la "zone semi-ouverte", une DMZ avec les serveurs WEB/SMTP/… accessibles depuis l'extérieur.
Pour le réseau sans-fil, la mise en place du WPA-802.1X au grand minimum...

ccnet

Cloisonnement, séparation des flux. Ce qui se pratique le plus couramment, de façon basique ce sera comme indiqué plus haut : une dmz pour les machine accéder de l'extérieur, une dmz pour les serveurs accessibles depuis l'intérieur, un relai applicatif pour passer d'une dmz à l'autre et des réseaux internes segmentés par population, wifi séparé du filaire.

ritek

Pour completer mon propos et ne sachant pas ou le poster sur le forum ,je vous mets un document interessant pour établir la politique les règles du firewall .

http://www.ssi.gouv.fr/IMG/pdf/NP_Politique_pare_feu_NoteTech.pdf

Cdlt,

ccnet

Document tout à fait recommandable. Pour les indécis ou les inexpérimentés le suivre à la lettre. On y trouve, entre autres choses, la confirmation que l'architecteure réseau interne avec deux dmz est ine bpnne bzse de départ, de même que l'isolation des interfaces d'administration.