Sécuriser un réseau

[Ludobike]

Bonjour,
je m'occupe d'un réseau dans un lycée, le réseau est actuellement divisé physiquement en 2 : une partie pédagogique avec serveurWin2000 et une partie administrative avec Serveur Win2000. J'ai comme projet de faire un réseau unique avec un seul controleur de domaine mais je voudrais quand même mettre une sécurité suffisante pour que les utilisateurs du réseau pédagogique ne puissent pas accéder a certains dossiers ou fichiers destinés au réseau administratif.
J'ai à ma disposition, pour sécuriser, les mots de passe, les autorisations NTFS. Y'aurait-il d'autres outils ? Et quels conseils pourriez-vous me donner pour amener ce projet à bien ?
J'attend vos conseils et éventuellement des outils.
Je ne connais pas bien IPSec, comment le met-on en place et quel est sa fonction?

>Ludobike

[Nemric]

Salut,

Les 2 reseaux doivent ils communiquer l'un avec l'autre ? en terme de securité ce ne serait pas mieu de laisser 2 reseaux ? ou un acces du reseau administratif vers le pedagogique seulement (l'inverse n'est pas possible) ? je pense que les 2 reseaux n'ont rien a faire ensemble (en même temps je ne connais rien a ton reseau) car l'utilisation n'est pas la même (d'apres les noms )et ca sert a rien de prendre le risque d'avoir un securité insuffisante se limitant aux droits utilisateurs (surtout sous windows). qu'est ce qu'un etudiant doit pouvoir faire dans le reseau administratif de l'ecole ? poser un fichier dans un repertoire a côté du repertoire super protégé des notes, devoirs, factures, ... ? j'imagine que tu a bien reflechi au besoin de relier les 2 reseaux ... en tout cas je suis bien content que ma banque n'ai pas un reseau comme ca

IPSEC est un "protocole" de reseau prive virtuel (vpn ou rpv) et je ne pense pas que cela soit utile dans ton cas ... sauf si tu laisse les 2 reseau séparés. c'est assez compliqué a mettre en place et les clients sont payant ... utilise plutôt openvpn

A priori tu peux relier les reseaux et preparer aux petits oignons les strategies de securité des utilisateurs du domaine. ca marche tres bien ... mais je ne le conseil pas sauf s'il y a un interet reel

sinon, dans le cas ou les reseaux sont tjs separés, tu peux utiliser un routeur/firewall avec la fonction dmz pour autoriser des communications dans un sens mais pas dans l'autre, ouvrir des ports pour les ftp par ex ... je pense bien sur a IPCOP

A bientôt

Nemric

[Ludobike]

Les différentes relations entre ces 2 réseaux seront les suivantes :
- les profs qui donnent des cours sur le réseau pédagogique doivent pouvoir accéder à leur répertoires persos sur le serveur (actuellement ils ont un rep sur le serveur pédagogique et un sur le serveur admin car ils ont accès a des postes sur le réseau admin et ont également besoins d'enregistrer), le but est qu'ils n'aient plus qu'un rep perso.
- les profs en cours doivent pouvoir rentrer des abscences sur le logiciel d'abscence dont la base de données se trouve actuellement sur le serveur administratif
- les profs doivent pouvoir egalement accéder aux rep des élèves depuis la partie administrative

Les différentes raisons de la mise en place d'un réseau unique sont les suivantes :
- réduction du nombre de serveurs de moitié, donc gain de temps pour la création des utilisateurs...également gain de temps lors d'une intervention car bcp plus centralisé.
- plus qu'une connexion internet : gain d'argent
- meilleure circulation d'informations

Il est évident que dans cette configuration, il nef aut pas se planter dans les droits NTFS et les stratégies.

Penses-tu qu'avec IpCop je peux autoriser certains utilisateurs et pas d'autres a accéder aux réseaux admin ? Je crois que IpCop fonctionne pltôt avec les adresses Ip, non ?

Une zone DMZ me servira à quoi stp ?

>Ludobike

[Nemric]

Salut,

C'est bien ce que je pensait ...

Un ipcop peut avoir 3 carte reseau : (voir 4 avec une zone wifi dite blue)
- red : zone rouge internet
- green : zone verte reseau local
- orange : zone dmz

les regles par defaut :
- rien ne passe de red vers green et orange
- tout passe de orange et green vers red
- rien ne passe de orange vers green
- tout passe de green vers orange
résolu :

- les profs doivent pouvoir egalement accéder aux rep des élèves depuis la partie administrative

dans ce cas il n'y a qu'une connection internet sur la carte red
résolu :

plus qu'une connexion internet : gain d'argent

je te propose :
sur orange, la zone reseau pedagogique
sur green, la zone administrative
sur red internet ...

ensuite pour que les acces de orange (pedagogique) vers green (administratif) se fasse que pour les profs, je pense a un vpn (openvpn addon d'ipcop ou ipsec natif dans ipcop) mais je dois verifier si c'est possible ... a mon avis oui.

meilleure circulation d'informations

c'est un peu le probleme d'un reseau, entre circulation d'info et securité ?!?

les profs ont ils un portables ou un poste fixe dans les salles de cours ?

ipcop fonctionne bien avec les adresses ip, mais il y a aussi un proxy avec certains droits d'acces via mot de passe, peut être un moyen d'aller d'un reseau a l'autre ... a voir aussi

plus generalement, le but d'ipcop ici avec la dmz, est de relier les 2 reseaux via un routeur et de gerer les communications autorisés en ces 2 reseaux, qui se partagent la même connexion internet ... et le côté vpn pour passer de facon securiser d'un reseau a l'autre (surtout dans le sens pedagogique vers administratif car c'est ici que reside le risque de securité, surtout si un etudiant chope un virus, ce serait dommage qu'il n'y ait que la protection windows (nom et mot de passe qui passe en clair sur le reseau et les droits plus ou moin bien gerés / linux) pour l'empeché de se propager

Code : Tout sélectionner

internet / red / x.x.x.x / com vers orange et green impossible
|
|---- pedagogique / orange / 10.0.0.0 / com vers red ok / com vers green  via vpn ou proxy
|
|
administratif / green / 192.168.0.0 / com vers orange et red ok

voila dans les grandes lignes ...

A bientôt

[Ludobike]

Merci pour cette réponse, c'est très intéressant...je dois t'avouer que j'avais pensé à IpCop mais j'ai arrêté lorsque j'ai vu que l'on ne pouvait pas créer 2 zones green, je n'avais pas pensé à mettre l'administratif sur une zone orange ( ça ne créé pas de problèmes à ton sens?), je connais un peu IpCop mais ça reste laborieux, j'utilise surtout Webmin pour la config. J'ai un IpCop en place sur un autre réseau (uniquement green - red) et il marche bien, c'est pas moi qui l'ait mis en place mais j'en fais la maintenance aujourd'hui.
Mais de cette façon pourrais-je autoriser uniquement certains utilisateurs à accéder à l'admin ? Non, nest-ce pas.
En effet, Tout les profs n'ont pas de portable ou de poste fixe dans les salles de cours

En tout cas merci beaucoup pour tes réponses qui me font avancer

>Ludobike

[Nemric]

Salut,

Mais de cette façon pourrais-je autoriser uniquement certains utilisateurs à accéder à l'admin ? Non, nest-ce pas.

si, ca fait parti des chose qui restent a verifer, la possibilité de creer un vpn pour relier les 2 reseaux (green vers orange) ou par un proxy ... je prefere la solution vpn si elle s'averait fonctionnelle.

De toute facon, avant de modifier quoi que se soit dans le reseau existant, prend quelques PCs et monte toi une petite architecture sur un ipcop a 3 pattes (ou 3 cartes reseau ) fait des tests de mise en place, de fiabilité, de securité, ... et pour le vpn, en cherchant vite fait sur ixus.net installe l'addon openvpn sur ipcop puis un client sur un poste windows, et test la connexion de green vers orange ... ensuite pour tes "futurs" problemes oriente toi plus sur le forum ixus, en utilisant la fonction recherche avant de posé trop de question à RTFM

sinon, je crois bien que MNF (le routeur/firewall qui fait tout de mandriva) semble plus souple au niveau des zones ...

bon courage ... et surtout de part pas en courant tête baissée, c'est le meilleur moyen de se prendre un mur

A bientôt

[edit]
oublié de repondre a cette question

pensé à mettre l'administratif sur une zone orange ( ça ne créé pas de problèmes à ton sens?)

non, la zone orange (dmz) est seulement un petit nom pour connaitre a premiere vue les regles imposées, cad, pas de communication possible de orange vers green --> c'est donc le reseau pedagogique qui sera en zone orange, pour ne pas pouvoir acceder a l'autre ...
[/edit]

[Ludobike]

J'ai une autre question : si je met en place IpCop de cette façon, est-ce que mes postes du pédagogique comme ceux de l'administatif pourront être sur un même domaine et donc se logger sur un même serveur qui se trouverait sur le réseau administratif ?
Serait-il plus judicieux de mettre ce serveur sur le ss-réseau pédagogique ?

>Ludobike

[Ludobike]

J'aurais éventuellement une autre petite question : la zone ORANGE est-elle plus sécurisée que la zone GREEN ou la BLUE, des attaques venant de la zone RED ?

>Ludobike

[Titus]

Salut,

Comme je n'en ai pas l'utilité, je n'ai pas "creusé" pour trouver des reseignements sur IPCop, cependant, voici un site en français et son forum qui y sont consacrés: http://www.fr.ixus.net/modules.php?name ... dist=IPCop

[Nemric]

Salut,

je vois que tout a l'air de bien se passer pour toi sur ixus et d'experience, lorsque franck78 et gandalf s'y mettent t'es deja bien

et les grand esprits se rencontre :

Installes un MNF ! Les flux à gérer entre les différentes zones sont assez simples à configurer !

sinon, je crois bien que MNF (le routeur/firewall qui fait tout de mandriva) semble plus souple au niveau des zones ...

et l'idée de la zone bleu me semble simpa aussi par rapport a la orange.

mon dernier conseil pour ton probleme est de continuer sur ixus ...

A bientôt

Nemric

[marsinph]

Boujour à tous,

Pourquoi faire compliqué quand on peut faire tres tres simple ???

Dans les propriétes du poste de travail, tu modifies l'ID réseau. Un réseau que tu appeles " eleves " et un que tu appeles " prof " par exemple.

Tu peux aussi travailler au niveau des adresses IP et du masque de sous-reseau.

[Nemric]

Salut,

Dans les propriétes du poste de travail, tu modifies l'ID réseau. Un réseau que tu appeles " eleves " et un que tu appeles " prof " par exemple.

Ceux sont 2 reseaux qui n'ont pas a être seulement differencier par leut nom.

Tu peux aussi travailler au niveau des adresses IP et du masque de sous-reseau.

oui justement, et c'est la que le routeur intervient puisqu'il y a en tout 3 reseaux a connecter, internet, eleves et prof ... avec des regles a respecter pour les communications entre les differents reseau, via le routeur/firewall ...

Pourquoi faire compliqué quand on peut faire tres tres simple ???

et c'est simple !

A bientôt