Aller au contenu

Interdire l'accès à des ressources réseaux


Pyrithe

Messages recommandés

Salut les techs!

 

J'ai un besoin client, qui déménage de locaux et qui souhaite en profiter, au dernier moment (intervention vendredi), pour mettre en place un peu de "cloisonnement" réseau.

 

Le parc est composé de :

-15 PC

-3 imprimantes/copieurs réseaux

-1 serveur qui fait tourner uniquement une appli web sur le LAN

-1 NAS Synology à venir

 

Les demandes en terme d'accès sont les suivantes :

8 PC doivent pouvoir accéder à tout.

4 PC doivent pouvoir accéder à toutes les imprimantes réseaux

3PC doivent pouvoir n'accéder qu'à une imprimante

Le serveur ne doit être accessible au final que par le premier groupe, qui a accès à tout

 

Ce que je ne peux pas faire :

Au niveau réseau, ils disposent d'une Livebox Business 1000 (sur laquelle on n'a pas la main).

Le serveur web n'est pas un vrai serveur, et je ne peux pas trop mettre les mains dedans.

 

Ce que je peux faire :

Je DOIS changer le switch vendredi. Peut être mettre en place un switch de niveau 3 pour faire du VLAN et du routage interVLAN?

(ce modèle? https://www.amazon.fr/Netgear-GS724T-400EUS-Manageable-Professionnel-Protection/dp/B00GZNAHOA/ref=sr_1_27?ie=UTF8&qid=1513427344&sr=8-27&keywords=switch%2Bniveau%2B3&th=1

Le NAS Synology n'est pas en place, il pourra accueillir certains rôles.

Je peux modifier l'adressage des PC et la config en général.

 

 

Si le cloisonnement prévu n'est pas en place vendredi, ce n'est pas grave. Simplement, si on envisage de s'appuyer sur le switch pour faire ca par exemple, il faut que je mette en place un modèle permettant de le faire.

 

Si vous avez des idées, ou retour d'expérience, je suis preneur!

Je vais tagguer @MathTek qui a une bonne vision du sujet :)

 

Lien vers le commentaire
Partager sur d’autres sites

Salut Pyrithe,

 

Déjà merci de me tagger, ça fait plaisir de voir que j'apporte mon aide a du monde ici :)

 

Ensuite pour ton déménagement:

en effet si tu as pas la main sur la Livebox, tu n'a pas le choix, il te faut un quelque chose pour gérer les VLANs. L'ajout d'un switch niveau 3 est surement la solution qui apporte le meilleur rapport qualité/prix. Parce que tu pourrais faire ça avec un petit firewall par exemple comme un Fortinet ou quelque chose dans ce genre, seulement au vu de la taille de l'entreprise, niveau budget ça va peut-etre être un peu juste. Maintenant le soucis que tu risque d'avoir c'est qu'il faut que tu gères des droits.

La tu as deux solutions:

  • Soit tu gère ça avec des ACL directement sur le switch ( à condition qu'il ça)
  • Soit tu gère ça niveau système mais il faut surement un serveur d'impression, mais la je manque de connaissance pour savoir dans quel mesure tu peux faire ça (avec le NAS, ou via un role sur le fameux serveur que tu modifie)

Pour le modèle de switch, j'ai un soucis avec cette marque, j'ai souvent été confronté a des soucis, de limitations ou de comportement étrange. Maintenant c'est toujours pareil, dire au client qu'un switch ça coute > 1000€ sans compter la presta, pour les petites structure c'est dur de le comprendre. Ce modèle à l'air correct, il faut juste s'assurer qu'il fait bien du routage inter-vlan, et les ACL.

 

Concernant le Wifi, aucun soucis pour les SSID avec les VLAN, il y a modèle compatible et pas très cher comme celle là:

https://www.ldlc.com/fiche/PB00234826.html

 

Voilà !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Je suis actuellement sur le même type de problématique.
Je veux qu'une partie de mon réseau est accès uniquement à internet (je vais devoir laisser l'accès a des visiteurs) 

et que le reste de mon réseau est accès a tout.

 

Je viens de demander à Orange si ils pouvaient me mettre sur le port 1 de la box le fonctionnement normal (accès a tout le VLAN) et sur le port 2 uniquement un accès internet.

 

Ainsi je fais ça sans rien dépenser.

Je vous donne le retour dés que je reçois sa réponse :)

 

Est ce que tu ne peux pas faire ça avec ton client ?

Lien vers le commentaire
Partager sur d’autres sites

@Exelsis Je ne peux pas mettre en place un serveur à plusieurs milliers d'€uros (matériel, licences, main d'oeuvre) pour un parc d'une dizaine de PC pour un client à petit budget...

 

@MultiPlex m'a présenté une solution pleinement valide, testée par ses soins, et pourtant très atypique. Je cherche encore comment ca fonctionne, en le mettant en parallèle sur du matériel d'une autre marque. Mais je le laisserai vous dévoiler cette solution qui lui a demandé un boulot certains de recherche et de compréhension. Merci beaucoup encore Multi! ;)

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Exelsis a dit :

Il vaut mieux mettre en place du matériel chez le client plutôt que de s appuyer sur Orange( temps de réponse).

 

perso je mettrais un serveur Windows qui permettrait de gérer les groupes d impressions et le reste (fichiers ...) et un pare-feu Utm pour la sortie internet.

Chez moi on a un technicien en charge du réseau et un commercial en charge de notre dossier :) 
Du coup ça va, j'ai envoyer le mail ce matin j'avais une réponse 10 minutes après m'indiquant que c'était mis à l'étude.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, Pyrithe a dit :

@Exelsis Je ne peux pas mettre en place un serveur à plusieurs milliers d'€uros (matériel, licences, main d'oeuvre) pour un parc d'une dizaine de PC pour un client à petit budget...

Dès que tu dépasse 10 users. Un serveur a du sens.

bien pour cela qu il y a ou avait les Windows foundation limiter à 15 ou 20 users.

 

tu as bien des serveurs a 1500€ des dell t110 ou Hp ml150

 

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

On peut segmenter l'accès aux ressources avec un switch de niveau 2. Pour cela, il faut créer plusieurs vlan.

 

Par exemple, on a :

 

- le routeur sur le port 1 ;
- un serveur RDS sur le port 2 ;

- 4 PC qui doivent avoir accès à internet et au serveur RDS, les ports utilisés sont : 5, 6, 7, 8 ;

- 2 PC qui doivent avoir accès qu'à Internet via le routeur, les ports utilisés sont : 9, 10.

 

On va créer des Vlan pour les ressources :

Switch GS724v2

 

Vlan 101 - Routeur :

Pvid du port 1 : 101

Ports membres du vlan : 1, 2, 5, 6, 7, 8, 9, 10

 

Vlan 120 - Serveur RDS :

Pvid du port 2 : 102

Ports membres du vlan 1, 2, 5, 6, 7, 8

 

On finit par les vlan côté clients :

 

Vlan 200 - Clients Internet et Serveur RDS

Pvid des ports 5, 6, 7, 8 : 200

Ports membres du vlan : 1, 2, 5, 6, 7, 8

 

Vlan 300 - Clients Internet seulement

Pvid des ports  9, 10 : 300

Port membre du vlan : 1, 9, 10

 

Les ports 9, 10 et les ports 5, 6, 7, 8 ne peuvent pas communiquer entre eux également !

 

Il ne reste plus qu'à tester :)

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Exelsis a dit :

Dès que tu dépasse 10 users. Un serveur a du sens.

bien pour cela qu il y a ou avait les Windows foundation limiter à 15 ou 20 users.

 

tu as bien des serveurs a 1500€ des dell t110 ou Hp ml150

 

AMHA, dire qu'un nombre de users justifie un serveur est un raccourci un peu vite emprunté.

Dans leur cas, le seule besoin est de partager des documents et de faire du backup.

Actuellement, 90% de leurs données sont dans une dropbox.

 

Donc, dans ce cas de figure, je pense qu'un NAS polyvalent est pleinement indiqué, plutôt qu'un serveur Windows.

 

@MultiPlex Oui je vais reproduire la config en janvier, pour une mise en place début février normalement.

Mais comme on l'a vu ensemble, ca fonctionne parfaitement :)

Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

Toute entreprise devrait avoir un switch manageable et un pare feu digne de ce nom ....

Avec la nouvelle loi européenne de conformité numérique ils sont responsables de la sécurité de leur système si rien n'est fait pour assurer la sécurité des données/systèmes.

cf : https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels

 

C'est dur à leur faire entendre je sais, mais rien ne vous oblige à bosser avec des gens qui ne sont pas prêts à mettre un kopec dans leur informatique :)

 

PS : une Livebox toute pro qu'elle soit n'est pas un pare-feu valable !

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, Steph69 a dit :

PS : une Livebox toute pro qu'elle soit n'est pas un pare-feu valable !

 

Même si je suis plutôt d'accord, ce n'est pas valable dans tous les cas de figures.

La livebox pro ne permet pas de mettre en place des règles pointues.

Mais si en terme d'accès réseau, pour une TPE, il n'y a rien, alors il n'y a pas besoin de grand chose. Simplement un parefeu qui bloque tout...

Alors oui, mettre en place des jolies règles c'est plus propre, mais quand une TPE ne fait que du web et qu'il n'y a aucun accès de puis l'extérieur, difficile de justifier la mise en place d'un firewall qui va couter de l'argent...

Lien vers le commentaire
Partager sur d’autres sites

×
×
  • Créer...