Sécuriser mon réseau informatique ?

[Spitzberg]

Bonjour à tous, et désolé si je ne suis pas dans la bonne section du forum (il n'y a pas de forum axé sécurité il me semble).
Je vous expose mon problème:

J'aimerais mettre un peu de sécurité dans mon réseau informatique. Voici l'existant :

-Une livebox (192.168.2.X)
-Un DC Win 2003 R2SP2 + lecteur de bande (192.168.2.X)
-Un exchange 2003 sur un autre 2003R2SP2 (192.168.2.X)
-Un storage server en W2003 R2SP2 (192.168.2.X)
-Un serveur en XP + appli qui fait proxy (192.168.2.X)
-Une 40aine de postes clients en XP (192.168.2.X)
-Divers périphériques de traçages (92.168.2.X)

Tout ce petit monde est relié sur 2 switchs giga de chez HP (un 24 et un 48 ports)

Quels sont les grands principes de la sécurité informatique que je pourrais appliquer, sachant que je dispo d'un Action Pack de chez Microsoft (qui me permet d'utiliser 1 ou plusieurs licences de leurs produits) ?

J'avais pensé à ceci :

-Le réseau utilisateur et imprimantes en 192.168.2.X
-Le réseau serveur en 192.168.3.X
-La livebox en 192.168.4.X

Plusieurs questions donc :

1/-Est-ce une bonne architecture?
2/-Puis-je utiliser le routage de Win2003 server pour reliers ces 3 réseaux ?
3/-Qui doit avoir le rôle de routeur dans cette architecture? Le DC ? Le proxy ? Un poste dédié ?
4/-Si j'ai tout faux, pourriez vous m'indiquer quels sont les principes d'un réseau sécurisé ? (j'accepte volontiers les liens vers des sites qui en parlent )

Merci par avance !

[bigstyle]

Hello,

ce que tu proposes dans ta nouvelle infra est une segmentation de ton réseau.
C'est une étape nécessaire si tu souhaites filtrer les accès mais cela ne représente pas une sécurité en soi.

Avant de rentrer dans le détail, il faudrait que tu nous indiques ce que tu souhaites protéger.
As-tu des serveurs particulièrement sensibles ou exposés directement à Internet ?
Y a t'il des utilisateurs externes qui se connectent à ton réseau etc...

Généralement, il est rare de choisir de protéger les serveurs d'un LAN aux clients de ce même LAN; donc si tu n'as pas de serveurs exposés sur Internet, j'aurai envie de dire que l'infra serveurs + postes sur un même réseau logique comme c'est le cas actuellement n'est pas choquante.

A bientôt

P.S: Sujet déplacé.

[Spitzberg]

Il faudrait que tu nous indiques ce que tu souhaites protéger.

Ce que je souhaites, c'est protéger mes serveurs avant tout.
Le fait d'avoir ma livebox et mes serveurs sur le même "réseau" pose-t-il un problème ?

As-tu des serveurs particulièrement sensibles ou exposés directement à Internet ?

Ben j'ai mon serveur exchange accessible via Outlook Web Acces, donc j'ai ouvert les ports sur ma livebox pour que cela fonctionne.
Mon DC gère aussis le WSUS, donc il accède lui aussi à internet.

Y a t'il des utilisateurs externes qui se connectent à ton réseau etc...

C'est un de mes gros soucis. Aujourd'hui quelqu'un se pointe chez moi, branche son portable à une prise réseau, il va récupérer une adresse dhcp, et sera sur mon réseau :/ Apres avec des outils touts bêtes genre ipscan ou autres, il peut récupérer les IP de mes serveurs / printers / postes clients... Et la, si tout n'est pas carré au niveau sécurité (genre un dossier partagé avec full droits dessus.. les utilisateurs sont des pros dans le genre hélas....), j'immagine qu'un mec mal intentionné peut foutre un joli boxon !

Généralement, il est rare de choisir de protéger les serveurs d'un LAN aux clients de ce même LAN; donc si tu n'as pas de serveurs exposés sur Internet, j'aurai envie de dire que l'infra serveurs + postes sur un même réseau logique comme c'est le cas actuellement n'est pas choquante.

C'est vrai que je peux mettre mes postes clients et mes serveurs sur le même "réseau". Apres, ce que je souhaites surtout faire, c'est :

1/-Empêcher les externes de pouvoir récupérer le réseau quand ils se branchent chez moi. J'ai plusieurs possibilités pour ça j'immagine. Je pensais faire, au niveau du DHCP, un filtrage MAC pour que seuls les postes approuvés puissent récupérer une adresse. Ca serait déjà un premier pas.

2/-Empêcher les utilisateurs internes de mettre en danger (volontairement ou involontairement) les données de la boite. Pour ça, je pensais justement à déplacer la livebox sur du 192.168.4.X et mettre un serveur proxy qui fasse gateway au passage. Genre un serveur avec 2 cartes réseau, et le routage win 2003 activé. Il en résulterait que pour accéder au web, les utilisateurs seraient obligés de passer par le gateway, et donc par le proxy ?

J'ai bon ?
Y a t il d'autres sécurités de base auxquelles je n'aurais pas pensé ?

Merci !

[bigstyle]

C'est vrai que je peux mettre mes postes clients et mes serveurs sur le même "réseau". Apres, ce que je souhaites surtout faire, c'est :

1/-Empêcher les externes de pouvoir récupérer le réseau quand ils se branchent chez moi. J'ai plusieurs possibilités pour ça j'immagine. Je pensais faire, au niveau du DHCP, un filtrage MAC pour que seuls les postes approuvés puissent récupérer une adresse. Ca serait déjà un premier pas.

2/-Empêcher les utilisateurs internes de mettre en danger (volontairement ou involontairement) les données de la boite. Pour ça, je pensais justement à déplacer la livebox sur du 192.168.4.X et mettre un serveur proxy qui fasse gateway au passage. Genre un serveur avec 2 cartes réseau, et le routage win 2003 activé. Il en résulterait que pour accéder au web, les utilisateurs seraient obligés de passer par le gateway, et donc par le proxy ?

J'ai bon ?
Y a t il d'autres sécurités de base auxquelles je n'aurais pas pensé ?

Merci !

1/ Via l'adresse MAC, c'est possible même si ce n'est pas top et facilement contournable. Autrement, regardes du coté du 802.1x si tes switch le gère.
2/ L'avantage du proxy est de pouvoir gérer et limiter les accès à Internet pour tes clients mais aussi de pouvoir effectuer un premier filtrage applicatif de ce qui arrive d'Internet vers tes PC (à condition de mettre un antivirus sur ton proxy).
L'avantage d'avoir un proxy qui gère le mode "reverse proxy" (ISA le fait) sera également de pouvoir publier ton OWA au travers de ce serveur et donc n'avoir là aussi qu'un seul point d'entrée vis à vis de l'extérieur (Internet). Dans ton cas, ce n'est pas un gain de sécurité extraordinaire dans la mesure où seul ton OWA est publié sur Internet.


Tu dis également vouloir protéger tes serveurs mais cela passe surtout par une bonne gestion des accès, et je m'orienterai davantage sur une remise à niveau de tes serveurs et postes plutot que de infra réseau. Un utilisateur ne doit pas par exemple avoir la possibilité de créer des partages ou modifier des droits comme tu le disais plus haut.

Le fait d'avoir un WSUS qui se connecte à Internet ne représente pas non plus un risque de sécurité. Dis-toi que les accès "en sortie" depuis ton LAN vers Internet ne représentent, sauf dans de rares cas, pas de risque de sécurité.

A bientôt

[Spitzberg]

Mes switchs (ProCurve 2824 / 2650 / 2810) ont l'air de gérer le 802.1x ==> Je vais donc zyeuter de ce coté les fonctionalités

j'ai bien pris note de tes remarques et j'ai une derniere question concernant le proxy et les utilisateurs.
Aujourd'hui, j'ai donc (avec adresses ip fictives) :

Livebox 192.168.20.1
Serveur proxy 192.168.20.2
Controleur de domaine 192.168.20.3

Le dhcp distribue ceci :

IP: 192.168.20.100 ==> 192.168.20.200
passerelle : 192.168.20.2
DNS : 192.168.20.3

Via mes gpo, je déploie un proxy.pac qui pointe sur 192.168.20.2:8080 (mon serveur proxy)

Avec cette configuration, un utilisateur qui a sur sa clé usb une version portable d'un navigateur passe outre mon proxy :/
Quand à un admin local du poste (certains le sont chez nous :/), via le registre il peut également bypasser le proxy.

Comment pourrais-je remédier à ce probleme ???

Merci en tout cas

[alex117]

Bonjour,

Ce qui à mon avis serait intéressant mais peut-être un peu lourd à mettre en place, ce serait une solution de NAP. NAP te permettra de valider les postes de ton réseau et ne leur donnera qu'un accès aux serveurs souhaités en fonction de la stratégie de conformité souhaité. Par exemple dans le domaine, un certificat, etc....
De plus si les postes ne sont pas conformes, on peut trés bien imaginer avec une autre plage DHCP qui adresserait un subnet différent et ne permettrait un accès qu'au serveur Proxy. De cette manière les "invités" n'auront accès qu'à Internet seulement.

Concernant la segmentation de ton réseau et la protection de tes serveurs appuie-toi sur des solutions Microsoft ISA Server, voire TMG son remplaçant en RTM d'ici la fin de l'année, comme l'indique bigstyle. ISA pourra jouer le rôle de routeur, Firewall, Proxy et même serveur VPN pour tes clients distants. D'autant qu'actuellement tu publies OWA. Personnes n'est authentifié en bordure avec ta solution existante. C'est à dire que des flux http/https sont autorisés de n'importe qui à rentrer sur ton réseau internet, et ce vers ton serveur Exchange ..... moyen ! ALors qu'avec ISA tu pourras stoper ce traffic, demander un identification et ne laisser rentrer que le flux identifié sur ton AD.

Voilà c'est déjà quelques premiers exemples de solutions.

Bonne journée,
Alex

[bigstyle]

Hello Alex,

concernant NAP par contre, il ne fera qu'une analyse de conformité mais ne "bloquera" pas pour autant un poste non conforme.
en clair, rien n'empêche un poste non conforme de s'attribuer une IP fixe de la plage fourni aux postes conformes alors qu'il ne l'est pas (du moins sans 802.1x)