<![CDATA[Forum Ubuntu-fr.org / Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?id=1203271 Tue, 12 Mar 2013 07:37:27 +0000 FluxBB <![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12874021#p12874021 Merci tiramiseb,
je ne connaissais pas apg.
Je suis passé à l'alias d'IP sur mon portable pour avoir le DHCP en général et une IP fixe dans les associations, je n'avais jamais pratiqué avant. C'est très commode.

]]>
Tue, 12 Mar 2013 07:37:27 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12874021#p12874021
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12864191#p12864191 Le serveur est donc suffisamment sécurisé je pense.


Pour les mots de passe, je les comprend.
Essaie d'utiliser apg pour générer les mots de passe : ceux qu'il donne sont faciles à retenir (basés sur des syllabes).

]]>
Mon, 11 Mar 2013 09:24:33 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12864191#p12864191
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12863951#p12863951 Oui, c'est un serveur Samba et les utilisateurs ont tous des mots de passe générés par pwgen (ce qu'ils n'apprécient pas trop).

]]>
Mon, 11 Mar 2013 09:05:03 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12863951#p12863951
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12863661#p12863661 Dans ce cas le problème est tout autre et tu n'as pas besoin de séparer les réseaux.

Du coup je te conseille d'avoir un seul réseau, avec tous les ordinateurs dedans.

Pour ton serveur, il faut voir ce que c'est comme serveur, car "serveur" c'est vague.

C'est peut-être un Samba... Dans ce cas, il suffit de mettre en place une authentification pour les utilisateurs qui ont le droit de l'utiliser...

]]>
Mon, 11 Mar 2013 08:26:54 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12863661#p12863661
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12861691#p12861691 La seule chose à faire est de sécuriser le serveur, c'est le seul qui contienne des fichiers. La question est alors comment le réaliser.

]]>
Sun, 10 Mar 2013 22:21:49 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12861691#p12861691
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12860061#p12860061 Je le répète : quand on a accès physique à une machine on peut tout y faire. Ils sont supposés débutants. Mais ce n'est pas sur des suppositions de compétences de tierces personnes qu'on base une politique de sécurité informatique.

je voudrais que la personne qui dirige l'atelier puisse avoir à la fois un accès Administration et un accès Atelier.

Mets deux adresses IP sur son interface réseau, et voilà.

Mais, encore une fois, ce que tu as fait ce n'est pas du tout sécurisé en plus d'être particulièrement sale, autant faire un seul réseau dans ce cas.

]]>
Sun, 10 Mar 2013 19:53:15 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12860061#p12860061
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12859691#p12859691 Pour le moment, il y a deux routeurs derrière la box et un même switch récupérant les sorties et alimentant les deux sous-réseaux (ou plutôt deux catégories d'adresses). Tous les postes sont en IP statiques. Les utilisateurs de l'atelier sont dans un groupe Atelier, ils n'ont qu'un accès à des sessions Invités. Ils ne peuvent ni changer de groupe, ni leurs adresses. Ils sont tous supposés débutants.
Je cherche encore une chose, je voudrais que la personne qui dirige l'atelier puisse avoir à la fois un accès Administration et un accès Atelier. Quelle solution serait possible en Windows Seven ? Ajouter une autre carte Ethernet ? Ajouter un alias d'IP ? mais comment ?
Faudrait-il protéger le serveur-Administration davantage ? Avec quelle règle IPtable ?

]]>
Sun, 10 Mar 2013 19:15:14 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12859691#p12859691
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12797531#p12797531 Deux réseaux sur le même switch = aucune sécurité et des gros risques de conflits (notamment avec les paquets en broadcast ou en multicast).

Il suffit de changer l'adresse IP d'un poste (ce qui est hyper facile dès qu'on a accès physique dessus : quand on a accès physique à une machine on peut tout y faire) ou d'ajouter une seconde adresse dans l'autre réseau, et le tour est joué.

Ce n'est pas pour rien que je t'ai parlé de switch différents ou de VLANs smile

]]>
Tue, 05 Mar 2013 18:21:57 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12797531#p12797531
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12797031#p12797031 Je n'ai pas mis de VLAN, je vérifie le fonctionnement sur place à la prochaine occasion

]]>
Tue, 05 Mar 2013 17:33:45 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12797031#p12797031
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12795731#p12795731 As-tu configuré tes switches avec des VLAN ?

Si tu n'as pas fait de VLAN, alors tu n'as là absolument aucune isolation des réseaux...

]]>
Tue, 05 Mar 2013 15:56:30 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12795731#p12795731
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12795671#p12795671 Finalement, j'opte pour une configuration avec deux routeurs derrière la Box pour séparer  les réseaux. Les sorties des deux vont sur un switch de fusion alimentant une partie du réseau (1.1) et la connexion vers la baie #2. Dans la baie #2, les flux sont orientés vers leur destination finale en fonction de leur IP (postes en IP statiques). Les deux routeurs doivent être aussi en IP statiques.
Le schéma de principe est donné par le lien suivant http://www.fichier-pdf.fr/2013/03/05/se … n-reseaux/

]]>
Tue, 05 Mar 2013 15:50:52 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12795671#p12795671
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12667991#p12667991 A défaut de configuration de PC-routeur que je ne vois pas bien, je commande pour le moment un routeur TP Link Tl-WE740 qui doit se paramétrer. J'aurai alors certainement besoin de choses à préciser.

]]>
Thu, 21 Feb 2013 23:21:45 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12667991#p12667991
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12648961#p12648961

le PC-Routeur est branché à la fois sur le réseau-Admin et sur l'Atelier. Il n'y a besoin que de 2 prises Ethernet ? pas de 3 ?

Comme tu l'as écrit : le PC est branché sur "admin" et sur "atelier". Ça fait 2... C'est ce qui est représenté sur mon schéma en #18.

]]>
Wed, 20 Feb 2013 12:50:42 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12648961#p12648961
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12648841#p12648841 tiramiseb a écrit :

Dans les deux cas (3 interfaces réseau et connexion directe à Internet OU 2 interfaces réseau et utilisation d'un routeur sur le réseau admin) tu pourrais faire les restrictions dont tu as besoin.

Peux-tu préciser ? Dans la baie #1, en entrée de tout le réseau, il y a déjà le routeur Cisco, donc pas besoin d'un autre. Dans la baie #2, le PC-Routeur est branché à la fois sur le réseau-Admin et sur l'Atelier. Il n'y a besoin que de 2 prises Ethernet ? pas de 3 ?

]]>
Wed, 20 Feb 2013 12:45:11 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12648841#p12648841
<![CDATA[Réponse à : Séparation/Isolement sous-réseau]]> http://forum.ubuntu-fr.org/viewtopic.php?pid=12644891#p12644891 Si tu veux que ce PC fasse "firewall central" et qu'il gère l'accès à Internet (c'est ce que je préconise, j'aime bien centraliser ces choses-là, ça simplifie la gestion), alors il faut trois interfaces réseau. Ça peut être trois cartes, ça peut aussi utiliser des cartes bi-port voire quadri-port. Le schéma est celui de mon message #8.

Mais si tu n'as pas le choix et que l'accès à Internet est obligatoirement dans la baie 1, deux interfaces réseau suffisent, tu mettras alors un routeur sur le réseau "admin" et tu géreras correctement les accès sur le PC qui fera routeur.
Dans ce cas, le schéma serait le suivant :

             Internet
                |
          modem-routeur   |
                |         |
PCs admin --- switch -----|----- switch --- PC routeur --- switch --- PCs atelier
                |         |        |                          |
            PCs admin     |    PCs admin                 PCs atelier
                          |
        Baie 1            |                      Baie 2

En terme de fonctions à implémenter, c'est assez simple : il faut juste correctement configurer le firewall de la machine (qui sera, bien sûr, sous la dernière Debian ou sous la dernière Ubuntu Server LTS) pour qu'il route les paquets que tu souhaites et qu'il bloque ceux qu'il faut bloquer. Dans les deux cas (3 interfaces réseau et connexion directe à Internet OU 2 interfaces réseau et utilisation d'un routeur sur le réseau admin) tu pourrais faire les restrictions dont tu as besoin.
Pour ma part je préconise d'utiliser le logiciel Shorewall pour configurer ce firewall : il demande un peu d'apprentissage, mais après cette phase d'apprentissage la gestion du firewall est très simplifiée.

]]>
Wed, 20 Feb 2013 07:55:38 +0000 http://forum.ubuntu-fr.org/viewtopic.php?pid=12644891#p12644891