Monter un reseau d'entreprise

On Tue, 30 Sep 2003 13:12:23 +0000, virginie wrote:

Je dois monter un réseau d'entreprise sur 5 etages, aucun étage ne peu
correpondre avec un autre mais ils peuvent correspondre par le biais
d'une messagerie interne ... Comment puis faire pour mettre en place
cette messagerie??

En installant des switchs, des cables, et même ptet un serveur !


Voilà, à vous de jouer, et de jouer à Mac Gyver.


--
:: Julien Delange (julien AT gunnm DOT org) | :: GPG ::
____________/------------
x http://gunnm.org / 8F36 4FD5 3845 6565 71DC
x http://julien.gunnm.org | F440 14D0 D2C0 FF1C EFB3

Le Tue, 30 Sep 2003 13:12:23 +0000, virginie a écrit :

Je dois monter un réseau d'entreprise sur 5 etages, aucun étage ne peu
correpondre avec un autre mais ils peuvent correspondre par le biais
d'une messagerie interne ... Comment puis faire pour mettre en place
cette messagerie??

Bonjour,

Il faut commencer par avoir un reseau qui marche,
(et ce n'est pas gagne s'il n'y a vraiment pas de communication
entre les etages !)
et ensuite mettre un serveur de messagerie.
Soit du mail (par ex Postfix sous Linux),
soit un systeme proprietaire, type Microsoft Exchange
ou Lotus.
Par contre si les postes de travail sont relies a Internet,
et que les courriers ne sont pas archi confidentiels, on peut
aussi echanger tout simplement des mails, ou meme faire du chat.
Il existe aussi des fournisseurs Internet qui fournissent des
"packs" de boites aux lettres emails aux entreprises.

Voila, la reponse est vague, mais bon, la question l'etait aussi...

Bon courage !

--
Roland MATTEOLI
(retirer ".marreduspam" de l'adresse)

PS: Je ne pense pas que ce soit le bon newsgroup pour ce genre
de demande, mais je ne sais pas ou t'orienter...

On 30 Sep 2003 13:12:23 GMT, vhaustant@hotmail.com (virginie) wrote:

Je dois monter un réseau d'entreprise sur 5 etages, aucun étage ne peu
correpondre avec un autre mais ils peuvent correspondre par le biais
d'une messagerie interne ... Comment puis faire pour mettre en place
cette messagerie??
merci
BIZ

Le plus simple est encore de mettre en place des VLANs disjoints pour
chaque étage et de placer tes serveurs communs (la messagerie dans ton
cas de figure) dans un VLAN 'partagé'. Il suffit ensuite de jouer sur
les règles de forwarding (ingress lists, egress lists) pour autoriser
ou non les communications interVLANs.

Thierry

Salut,

Je dois monter un réseau d'entreprise sur 5 etages, aucun étage ne peu
correpondre avec un autre mais ils peuvent correspondre par le biais
d'une messagerie interne ... Comment puis faire pour mettre en place
cette messagerie??

Tiens, la reponse m'interesse.
Là j'aurai tendance à dire: serveur de messagerie avec 5 cartes reseaux,
donc 5 interfaces reseau...

Ou alors un serveur par etage, reliés entre eux par un réseau privé
securisé (c'est peut etre pas plus mal; en cas de compromission du
serveur d'un etage, on n'accede pas aux mails de tous les etages). Par
securisé j'entend que les echanges sur celui-ci doivent etre cryptés
(SMTP TLS, fastoche avec Postfix !) et qu'on ne doit pas pouvoir se
connecter a un quelconque service de ce reseau interne sans montrer patte
blanche (TLS aussi...)
Pourquoi ? Pour eviter qu'un bonhomme se branche dessus et puisse faire ce
qu'il veut.

En fait, avec la premiere solution il n'existe aucun lien entre les
differents reseaux. Il est impossible de se brancher pour faire des
echanges. Par contre en cas de compromission, c'est tout le systeme de
courrier de tout le reseau qui est corrompu. Alors qu'avec la seconde
solution un reseau materiel entre les 5 etages existe, il faudra donc bien
veiller a eviter tout branchement sauvage.

Tu donnes des plages d'adresses differentes a chaque reseau (192.168.*.*;
10.*.*.*, le choix ne manque pas). Sinon ca va etre galere à gerer. Genre
192.168.0.1-5.* pour les 5 etages, puis 10.0.0.* pour le LAN "privé".

Aprés tu configures ton serveur mail avec par exemple un domaine par
etage (etage_1, etage_2, ...) et chaque utilisateur ayant un compte a lui.

Ce qui donne:
dupont@etage_1

Aprés, il faut faire attention a securiser un peu le truc: impossibilité
de poster de la part d'un autre utilisateur (SMTP auth (couples
login/pass, TLS, ...)), impossibilité de poster de la part d'un etage A a
partir d'un etage B meme si on a les bons identifiants, etc.

Pour moi un serveur SMTP sans auth[1], c'est de la daube...

Critiquez moi, critiquez moi, j'aimerai bien connaitre LA ou LES bonnes
solutions !

@+
Bertrand

[1] sauf en cas de reception d'un message externe vers une boite interne,
mais ici le SMTP ne sert qu'en interne donc on peut toujours demander
l'auth.

Salut,

Par contre si les postes de travail sont relies a Internet,
et que les courriers ne sont pas archi confidentiels, on peut
aussi echanger tout simplement des mails, ou meme faire du chat.
Il existe aussi des fournisseurs Internet qui fournissent des
"packs" de boites aux lettres emails aux entreprises.

Faire sortir les emails, leur faire parcourir plusieurs centaines de
kilometres, pour revenir sur un autre PC à 10m du PC emetteur, ca me semble
un peu trop quand meme, surtout que l'on peut mettre un serveur mail
local.

De plus, si on aime un minimum la confidentialté, on evite de confier
inutilement des données à des tierces parties. Ou alors on crypte, mais je
vois mal tous les utilisateurs d'un immeuble de bureau utiliser GPG...

@+
Bertrand

"Bertrand" <usenet@cykian.net> a écrit dans le message de
news:pan.2003.09.30.20.09.48.866179@cykian.net...

Salut,

Je dois monter un réseau d'entreprise sur 5 etages, aucun étage ne peu
correpondre avec un autre mais ils peuvent correspondre par le biais
d'une messagerie interne ... Comment puis faire pour mettre en place
cette messagerie??

Tiens, la reponse m'interesse.
Là j'aurai tendance à dire: serveur de messagerie avec 5 cartes reseaux,
donc 5 interfaces reseau...

Tant qu'à faire alors, un FW à 7 pattes, une par réseau, une pour le net (ça
doit être demdandé, non?), une pour les serveurs communs (plus
eventuellement une pour la DMZ). Ca tient sur deux slots PCI et le coût
n'est pas prohibitif (Pour la solution VLAN voit le post de Thierry
Evangelista et le thread " mise en place architecture reseau et questions
prealables" ici même.)

Pense quand même à comment rétablir le service au plus vite en cas de
défaillance du bouzingue.

Ou alors un serveur par etage, reliés entre eux par un réseau privé
securisé (c'est peut etre pas plus mal; en cas de compromission du
serveur d'un etage, on n'accede pas aux mails de tous les etages).

Hummm. Si je compromets ton serveur en remote via smtp (on va supposer qu'il
n'y a pas d'autre service) et que tes serveurs sont reliés entre eux et
qu'il y a une forte probabilité pour qu'ils aient la même faille.... miam :)

[SNAP]

En fait, avec la premiere solution il n'existe aucun lien entre les
differents reseaux. Il est impossible de se brancher pour faire des
echanges.

Si si il y a un lien entre les réseaux : ton serveur smtp! Une fois en ma
possession je suis sur les cinqs réseaux (tes cinq cartes ethernet)

Par contre en cas de compromission, c'est tout le systeme de
courrier de tout le reseau qui est corrompu.

Ici c'est sur, mais même dans l'autre cas, amha, c'est plus que probable
aussi.

Alors qu'avec la seconde
solution un reseau materiel entre les 5 etages existe, il faudra donc bien
veiller a eviter tout branchement sauvage.

C'est pour ça que je ne vois pas d'intérêt à ce sixième réseau (hors
solution VLAN). Je ne crois pas qu'il apporte plus de sécurité. Simplement
un machin en plus à gérer dans la solution que tu présente.

Tu donnes des plages d'adresses differentes a chaque reseau (192.168.*.*;
10.*.*.*, le choix ne manque pas). Sinon ca va etre galere à gerer. Genre
192.168.0.1-5.* pour les 5 etages, puis 10.0.0.* pour le LAN "privé".

Euh, 192.168.etage.machine, non?
Sinon aucune raison que le privé soit sur une classe différente (aucune
raison pour qu'il soit dans la même non plus).

Critiquez moi, critiquez moi,

C'est fait :)

j'aimerai bien connaitre LA ou LES bonnes
solutions !

Pour être plus précis il faudrait que la question d'origine le soit. Dans ce
genre de cas il existe généralement tout un tas de contraintes
supplémentaires (coût, ressources humaines et compétances sur place,
succeptibilité de l'admin de chaque étage le cas échéant etc.). C'est
seulement à partir de ces éléments que tu peux élaborer des "vrais"
solutions. La on ne peut, à mon avis, que donner des pistes.

Eric.

Le Wed, 01 Oct 2003 05:23:28 +0000, Bertrand a écrit :

Faire sortir les emails, leur faire parcourir plusieurs centaines de
kilometres, pour revenir sur un autre PC à 10m du PC emetteur, ca me semble
un peu trop quand meme, surtout que l'on peut mettre un serveur mail
local.

On est d'accord, mais vu le ton de la question , j'ai pense que
la personne qui la posait avait n'etait pas une specialiste, et je lui
ai propose une solution simple a installer.
Mais c'est sur que c'est loin d'etre l'ideal...

--
Roland MATTEOLI
(retirer ".marreduspam" de l'adresse)

Salut,

Hummm. Si je compromets ton serveur en remote via smtp (on va supposer
qu'il n'y a pas d'autre service) et que tes serveurs sont reliés entre
eux et qu'il y a une forte probabilité pour qu'ils aient la même
faille.... miam :)

Héhé certes, mais je pensais entre autres à une compromission "locale"
en cas d'accés à la console du systeme. Puis bon, ca me gene de stoquer
tous les mails au meme endroit. Si un serveur claque, ca n'affecte qu'un
etage, alors que le FW a 7 pattes si il claque, boum, plus de reseau
(enfin le reseau va se retrouver segmenté).

Maintenant il faut voir autre chose. Les 5 serveurs, que l'on va appeler
s1 s2 ... s5 fournissent des services aux utilisateurs, sur les interfaces
de chaque etage appelées e1 e2 ... e5. L'interface privée = p0.

On envisage par exemple de créer un espace de stoquage sur le serveur
propre a chaque utilisateur (ca se fait couramment, mais l'utilisateur ne
le sait pas toujours; par exemple pour des sauvegardes automatiques de
documents, etc). Ainsi l'utilisateur a l'etage 5 se connecte a s5 par
l'intermediaire de e5.
On va donc ouvrir 5 serveurs FTP, chacun etant sur son propre serveur
s[1-5] et ecoutant sur e[1-5].

Puis il y a aussi les serveurs POP3 (et/ou IMAP) qui ecoutent sur e[1-5].

Sur p0 on n'aura donc que... le port 25 d'accessible pour chaque serveur.
Alors que sur tes interfaces e on aura d'autres services: POP3, FTP, IMAP,
et j'en passe (avec le temps, ca risque de se finir avec aussi un serveur
Web, SQL, ... soit autant de trous potentiels)

Tu rootes un serveur via une faille pop ? Il faut te brancher dans chaque
etage pour rooter les autres serveurs. Inversement, et c'est là que c'est
interessant, si tu rootes la gateway internet (ou alors que tu t'arranges
pour passer a travers) qui n'aura plus que 2 (ou 3 pattes si DMZ), tu ne
peux pas rooter les serveurs e[1-5] derriere puisque tu n'as accés qu'au
mail (je suppose que la faille ne concerne pas le serveur SMTP; si tu
choisis bien ton daemon (...), tu n'auras pas une faille chaque jour).
ensuite on peut trés bien chrooter le daemon mail, et lui donner que
certains privileges sur les sockets, sur les fichiers, etc, aussi bien au
niveau des droits du FS qu'au niveau du kernel (ACLs, de Grsec par
exemple).

=> Plus c'est segmenté, avec chaque segment de blindé, moins on a de
chances de se retrouvé avec un reseau totalement rooté d'un trait. Et
puis, reseau segmenté = plus de temps pour passer d'une machine a l'autre
= plus de temps pour reagir en cas de probleme (encore faut il que le
reseau soit bien monitoré).

Bref, le fait de decentraliser laisse une certaine marge de manoeuvre et
perso ca me rassurerait de savoir que je n'ai pas UN serveur
ultra-sensible sur lequel tout repose, mais 5 qui se partagent chacun un
bout de gateau. On sait qu'il faut particulierement se mefier des failles
sur le daemon smtp, et qu'il faut bien voir ce qui passe sur p0, mais pour
un batiment de 5 etages, je suppose qu'un gars va quand meme etre chargé
de la surveillance du reseau (peut etre que je reve ? dommage; c'est avec
ce genre de topologies que on peut par exemple deployer un NIDS de maniere
trés interessante). Puis ca limite aussi les risques liés a l'ARP
spoofing, les reseaux etant totalement separés. Qui plus est si on a
collé du TLS de partout avec verif des certificats (/me aime bien le TLS
(ou SSL aussi)).

Quand on peut faire du TLS, il faut le faire. Pour ce qui est de POP3,
IMAP et SMTP, MEME Outlook Express le gere (mais pas aussi bien que Kmail
par exemple, qui permet de presenter un certificat client protegé par
passphrase, de choisir quel certificat presenter, ...).

Si si il y a un lien entre les réseaux : ton serveur smtp! Une fois en
ma possession je suis sur les cinqs réseaux (tes cinq cartes ethernet)

Par lien j'entends "autre reseau" qui les relie. Genre, aucun cable sur
lequel on puisse se brancher a l'etage 1 et a l'etage 5 pour communiquer.
C'est vrai que c'etait mal formulé ceci dit.

C'est pour ça que je ne vois pas d'intérêt à ce sixième réseau
(hors solution VLAN). Je ne crois pas qu'il apporte plus de sécurité.
Simplement un machin en plus à gérer dans la solution que tu
présente.

Mouais.
Il y a quand meme la tolerance de panne qui est superieure, et puis la
secu peut dans certains cas etre vraiment ameliorée; en fait plus on
offre de services, plus on gagne a separer les serveurs et a les laisser
communiquer entre eux que le strict minimum (c'etait ce qui etait demandé
aprés tout, le moins de communication possible entre les etages).

Et puis, sachant que le daemon SMTP est hyper sensible, on peut faire une
securisation de maniaque dessus (ne me dites pas "ouai mais on fait
toujours une securisation de maniaque", j'aurai du mal a vous croire).

Euh, 192.168.etage.machine, non?

Tout a fait (je ne pense pas qu'il y ait plus de 255 machines par etage,
si c'est le cas on peut faire un truc genre: 192.168.1[etage]*.[machine],
ce qui laisse 2550 adresses par etage.. ou alors
10.[etage].[machine].[machine], ce qui laisse 65k adresses par etage...).

Sinon aucune raison que le privé soit sur une classe différente
(aucune raison pour qu'il soit dans la même non plus).

C'est une habitude que j'ai; je donne des classes A differentes pour les
reseaux "privés" ou pour les DMZ. Pour une fois qu'on a un peu de
libertés avec les adresses IP, faut pas s'en priver ! (puis avant que
l'IPv6 arrive...) Maintenant, bonne habitude ou pas... je sais pas.
Comme tu le dis, aucune raison qu'il soit dans la meme. Alors, chacun fait
ce qu'il veut selon ses habitudes et l'humeur du jour ;)

C'est fait :)

Mechant !

La on ne peut, à mon avis, que donner des pistes.

Hé oui. Et la plupart du temps, ca se termine par un appel a une boite
specialisée pour qu'elle fasse le boulot; reste alors a prier pour ne pas
tomber sur n'importe qui...

@+
Bertrand

On 01 Oct 2003 07:21:40 GMT, "Roland"
<roland.matteoli@laposte.marreduspam.net> wrote:

j'ai pense que
la personne qui la posait avait n'etait pas une specialiste, et je lui
ai propose une solution simple a installer.

Franchement, installer un serveur mail est assez facile, et évite bien
des ennuis. J'en ai même installé un sur ma machine (chez moi -- PC
"isolé"), car je trouve ça plus facile que d'utiliser le serveur SMTP
de mon FAI.

Le Wed, 01 Oct 2003 20:32:33 +0000, Fabien LE LEZ a écrit :

Franchement, installer un serveur mail est assez facile, et évite bien
des ennuis. J'en ai même installé un sur ma machine (chez moi -- PC
"isolé"), car je trouve ça plus facile que d'utiliser le serveur SMTP
de mon FAI.

Oui on est d'accord...

--
Roland MATTEOLI
(retirer ".marreduspam" de l'adresse)