PhenIXUS

La renaissance d'IXUS

Accéder au contenu

Recommendations

(voir http://wiki.ixus.net/doku.php/ixus/cont ... vos_etudes)
Pourquoi les étudiants n'auraient-ils pas le droit de discuter de leurs devoirs avec des experts et des professionnels ? Mais cela doit se faire en connaissance de cause pour obtenir les meilleures réponses : les experts et les pros apprécient généralement bien peu qu'on tente de leur cacher ce contexte, et ce n'est pas aux vieux singes qu'on apprend à faire la grimace ! On discute ici de tous les projets, études, devoirs et autres travaux scolaires.
Règles du forum
Publier une réponse

Recommendations

Message par elramo » 02 Nov 2012 16:13

Bonjour,

Contexte:
Au cours de mon stage de fin de DUT Réseaux et Télécommunications je suis amené à étudier une architecture réseau, et donc de trouver les failles de sécurité et les réparer, pour cela j'ai un peu de mal et je viens solliciter votre aide.
Je tiens à préciser que cette architecture est celle du réseau de l'entreprise, et que la plate-forme de supervision sert comme son nom l'indique a superviser les réseaux des clients (banques etc) qui sont connectés via tunnels VPN d'ou l’intérêt du firewall PIX (voir schéma).

Besoin
Je souhaite protéger mon réseau LAN : 192.168.0.0/16 de possibles intrusions.
Un lien internet/plate-forme de supervision est bien-sûr requit pour l'utilisation VPN.
Un client privilégié utilise la technologie MPSL (voir schéma)

Schéma
Image

Modem/Routeur/Box
Les routeurs et switchs utilisés sont mentionnés dans le schéma, les numéros de ports également, je n'ai pas plus de détails sur les configurations ni sur le routage car je n'ai pas un accès total.

Firewall/Serveur-passerelle multifonctions
Toutes les informations que j'ai à ma disposition sont mentionnées dans le schéma.

Adressages
Voir schéma

Question : Demande de conseil ou exposé du problème rencontré
Pour commencer on m'a fait comprendre qu'une intrusion au réseau LAN est tout à fait possible, c'est à dire qu'on peut accéder facilement au réseau de l'entreprise (192.168.0.0/16) à partir d'internet en contournant le firewall B et ceci en passant par E->D->C->F, donc ce que je cherche à faire, c'est de changer un peu l'architecture pour rendre toutes intrusions impossible (impossible de contourner le firewall B de l'entreprise) sans pour autant casser les liens clients/plate-forme de supervision.
Ensuite je comprends pas trop pourquoi le firewall PIX laisserait passer des connexions non souhaitées (puisque c'est un firewall).

Recherches
J'ai étudier un peu tout ce qui est VPN (IPSec, SSH, EZVPN ...) mais ça ne m'aide pas vraiment à changer une architecture ...

Logs et tests
None

J'ai fait de mon mieux pour remplir le formulaire, si il y a besoin de plus de précision je me tiens à disposition.

Merci pour votre aide.
Dernière édition par elramo le 03 Nov 2012 01:24, édité 1 fois.
elramo
 
Message(s) : 1
Inscription : 02 Nov 2012 16:10
Haut

Re: Recommendations

Message par Argenlos » 03 Nov 2012 19:27

Bonjour Elramo,
Merci d'avoir utiliser le formulaire.

Avant toutes choses,je ne suis pas un expert, je donne juste un avis. Et qui n'est peut-être pas le meilleurs...


Deux firewalls en parallèle, c'est deux fois plus de chance d'avoir une erreur de configurations et de laisser un accès non désiré.
Je comprends la nécessité du PIX, ce doit-être pour atteindre des débits importants en VPN avec le PIX.

Vu que tu ne nous donne pas d'info sur le firewall B, c'est que celui-ci n'est pas modifiable.... néanmoins, j'ai pensé à cela:
elramo a écrit :donc ce que je cherche à faire, c'est de changer un peu l'architecture pour rendre toutes intrusions impossible (impossible de contourner le firewall B de l'entreprise)

Et bien, fait tout passer par le firewall B. Tout ce qui vient du routeur A, devra passer par firewall B. Ainsi plus de contournement possible.
Néanmoins, il restera un problème le VPN. Soit, il est possible d'ajouter cette fonctionnalité au firewall B, soit, il faut réutiliser le PIX juste pour les connexions VPN...

Enfin, il y a des questions à creuser:
elramo a écrit :Ensuite je comprends pas trop pourquoi le firewall PIX laisserait passer des connexions non souhaitées (puisque c'est un firewall).

Ben oui, tiens.


Cordialement,
La bonté est si rare dans notre monde que lorsqu'elle est prodiguée elle engendre la suspicion.
Argenlos
Argenlos
 
Message(s) : 133
Inscription : 02 Nov 2011 15:42
Localisation : Montaigu
Haut

Re: Recommendations

Message par sibsib » 03 Nov 2012 21:33

Bonjour,

Encore un avis de "non spécialiste éclairé" (les pires, à mon avis ;-) )

Dans ton schéma, je ne vois pas l'intérêt du lien entre E et D. En sécurité, tout lien non dûment justifié est à supprimer.

Plus globalement, tu as fait un vrai effort de présentation, mais il manque (au moins pour toi, je ne sais pas si tu peux communiquer ces infos), un diagramme des flux. Même si les admins de la sécu ne te donnent pas un accès complet (je les comprends), il te doivent une cartographie des flux, idéalement avec les raisons de ces flux. S'ils jugent que tu n'en as pas besoin, tu ne pourras pas faire une étude valable.

<EDIT> Oups, je vois un streamcore SGM, ou sont placés sur ton schéma les SG (150/420/ je ne connais pas tout le catalogue Streamcore) ?</EDIT>

Bon courage !

A+,
Pascal
sibsib
 
Message(s) : 188
Inscription : 20 Oct 2011 21:08
Haut
Publier une réponse

Retour vers Aide aux devoirs

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 0 invité(s)

Powered by boolaz
Propulsé par phpBB® Forum Software © phpBB Group
Traduction et support en françaisHébergement phpBB
cron