Réseau AFIDE

Un article de DocAstairs.

Le réseau actuel

Image:Reseau actuel.jpg


Objectifs:

Améliorer la qualité du réseau en terme de:

  1. Performances (débit et redondance)
  2. Sécurité
  3. Gestion (physique et logique) (Modularité, évolutivité)
  4. Préparer le réseau à d'éventuels futurs services à usage interne et/ou externe


Moyens mis en oeuvre:

  1. Redécoupage du réseau physique et logique
  2. Redistribution des rôles impartis au materiel (routeurs firewall, passerelle et serveur de formation et de déploiement)
  3. Mise en place d'outils logiciels permettant la mise en place de services supplémentaires


Aperçu du réseau:

Image:projet_reseau_afide.jpg

En pointillé les possibilités d'évolutions

Descriptif:

I/ Remplacer PFSENSE par IPCOP pour: permettre le découpage du réseau en 4 zones pincipales pour des raison de sécurité et de découpage logique

  • Zone ROUGE = accès internet
  • Zone Orange = Les serveurs pouvant être potentiellement accessible depuis l'extérieur.
  • Zone Bleue = Accès WIFI (permet d'intégrer le réseau sans fil au sein du réseau local)
  • Zone Verte = DMZ accessible par les autres zones uniquement à travers des règles spécifiques. Autrement la zone verte est entièrtement protégée de l'extèrieur

Découper le réseau en 4 zones permet de mieux sécuriser chaque zone en fonction de leurs objectifs repectifs.

  • La zone Orange où se trouvent les serveurs doit être séparée du reste du réseau car elle offre des services qui peuvent potentiellement créer des failles de sécurité mettant à ma merci le réseau interne.
  • La zone verte étant le réseau interne. Les postes contenant les données sensibles d'AFIDE doivent être protégés de l'extérieur.Le réseau internet, Les serveurs risquants plus facilement d'être piratés, ou les postes nomades (sans fil) ne doivent pas pouvoir accéder au réseau VERT
  • La zone bleue permettrait d'offrir des possibilités de connexions sans fil au postes nomades. Actuellement la seule possibilité d'utiliser le WIFI est de passer par la freebox. Cependant la freebox étant à "l'extérieur" du réseau AFIDE aucun contrôle n'est possible sur les connexions entrantes et sortantes. Ce qui représente une faille de sécuritée majeure

II/ Installer une machine (performante) entre IPCOP et le réseau vert pour:

  • Permettre comme le fait actuellement PFSENSE de découper le réseau d'AFIDE en plusieurs sous réseaux: ADMIN, PROD, RH, FORMATION
  • Permettre de définir le plan d'adressage IP sur une seule machine via un service DHCP
  • Offrir un service de déploiement d'images pour restaurer les postes de formation et les postes des salariés
  • Installer un proxy permettant de définir une politique rigoureuse d'accès à Internet
  • Définir une politique d'accès au différents sous-réseaux du réseau VERT
  • Surveiller le traffic avec la mise en place d'outils de monitoring adaptés aux besoins
  • Répartir les tâches de protections (firewall) de l'ensemble du réseau sur différentes machines pour des raisons de performances et de d'organistaion logique du réseau en ses différents ensembles
  • Offrir un serveur de fichier à l'ensemble des sous réseaux VERT en remplacement du serveur de formation.
  • Permettre de faire du multicast

Cette Solution de séparer la passerelle internet du routeur principal d'AFIDE permet de décharger la passerelle qui nous relie à l'extérieur des nombreux services qu'on ne peut actuellement mettre en place que sur PFSENSE. Une fois le routage , les règles de Firewall, le DHCP ...déplacé sur le routeur du réseau vert le système sera physiquement plus modulaire permettant au fur et à mesure des budgets de créer de la redondance (en pointillé sur le shéma) ou de diviser les tâches sur plusieures machines. Le WIFI permettrait aussi de permettre l'accès internet en cas de besoin si le routeur principale du réseau VERT AFIDE tombait en panne.

III/ Modifier les passerelles de formation.

  • Supprimer la fonction DHCP des passerelles pour la reporter sur le routeur du réseau VERT (comme précisé ci-dessus")
  • Passer en mode DHCP RELAI
  • Activer les règles de firewall spécifiques au salles de formations pour équilibrer les charges avec les autres routeurs firewall et pour une gestion plus cohérante du réseau logique
  • Faire du monitoring pour chaque salle.

IV/ Ajouter un point d'accès WIFI dans la zone bleue

  • Offrir un service réseau sans fil maîtrisé et sécurisé

BONUS (en pointillé sur le shéma) Il pourrait aussi être judicieux de distinguer deux réseaux serveurs. Un réseau de serveur à usage interne qui ne serait relié qu'aux réseaux PROD RH et ADMIN sans passer par la passerelle exterieure (IPCOP) et innaccessible au réseau formation pour des raisons de sécurité évidente et pour répartir encore les tâches des routeurs externes (IPCOP et routeur zone verte) à ces réseaux. Un réseau de serveurs internes éventuellement composés de futurs serveurs DNS, Messagerie, Tests, PotDeMiel... relié au réseau ORANGE puisque devant être accessibles et accéder à Internet