none
Réseaux LAN/WAN et passerelle ?

    Question

  • Bonjour,

    Je suis entrain de remonter un réseau en vue de permettre à un serveur WSUS de pouvoir se connecter au LAN via une première carte réseau et au WAN (Internet) via une seconde carte réseau.
    Pourriez-vous me dire si mon schéma énoncé ci-dessous est correct?
    Merci.

    Les stations (Win XP Pro SP3) et les serveurs (Win 2003R2 SP2) sont connectés au réseau local.
    Ce LAN (192.168.1.0) comporte un Contrôleur de Domaine (192.168.1.1) et un Serveur de fichiers (192.168.1.2).
    Ce Contrôleur de Domaine joue les rôles de AD, DHCP et DNS.

    Je veux ajouter un serveur WSUS pour effectuer les mises à jour des stations et des serveurs.
    Mais vu que le LAN n'est pas connecté à Internet, j'ai ajouté une seconde carte réseau au serveur WSUS (pour aller chercher les mises à jour chez Microsoft).

    La première carte réseau du serveur WSUS, celle côté LAN, a l'adresse IP 192.168.1.3 et elle est connectée au Switch du LAN.

    La seconde carte réseau du serveur WSUS, celle côté WAN, a l'adresse IP 192.168.0.1 car elle est connectée au Routeur (192.168.0.254).

    Si j'ai bien compris, sur la seconde carte réseau (celle côté WAN), je dois désactiver/décocher les services suivants:
    - "Partage de fichiers et d'imprimantes pour les réseaux Microsoft",
    - "Client pour réseaux Microsoft",
    - DNS (décocher "Enregistrer les adresses de cette connexion dans le système DNS"),
    - NetBIOS (cocher "Désactiver NetBIOS avec TCP/IP").

    Dois-je aussi modifier l'ordre d'accès des services réseaux (binding order) de manière à ce que le carte réseau WAN ou LAN soit en première position?

    Dois-je préférablement effectuer ces opérations avant de joindre le serveur WSUS au Domaine, ou ceci n'a pas d'importance?

    Avec ce schéma, quelle Passerelle dois-je utiliser pour le LAN? Est-ce l'adresse IP du Contrôleur de Domaine (192.168.1.1) qui joue le rôle de DNS?

    Si par la suite j'ajoute un serveur ISA au LAN (afin de lui donner un accès à l'Internet), est-ce que la Passerelle du LAN deviendra l'adresse IP du serveur ISA?

    J'en profite pour vous poser une dernière question: est-ce qu'il est intéressant d'ajouter le service WINS au Contrôleur de Domaine (qui occupe déjà les rôles de AD, DHCP et DNS)?

    Merci pour votre aide,
    Christophe

    Wednesday, August 11, 2010 7:59 PM

Answers

  • Si tu souhaites tout de meme partir sur cette "infra" (car je crois deviner que tu dois être sur un réseau de petite taille); il faut t'assurer qu'il n'y a pas de routage entre tes cartes réseaux (cf. http://support.microsoft.com/kb/323339/en-us).

     

    Tu n'as pas besoin de toucher aux bindings.

    Ton LAN n'a pas besoin de passerelle s'il n'a pas besoin de sortir ailleurs que sur son propre sous réseau.

    Si tu ajoutes le net via un ISA, ton ISA sera la passerelle.

    Le service WINS peut être utile si tu as encore des applications qui se reposent sur de la résolution Netbios pour fonctionner. Cela limitera les flux de diffusion.

     

    A bientôt

     


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    • Marked as answer by chrbar Thursday, August 12, 2010 12:16 AM
    Wednesday, August 11, 2010 10:23 PM
    Moderator

All replies

  • Bonsoir,

    pourquoi te retrouves tu avec un LAN en 192.168.1.0/24 et un routeur en 192.168.0.254 ??? A quoi sert ce routeur et pourquoi n'est-il pas sur le même réseau ?

    Il faudrait peut être commencer par mettre un pare-feu entre tes deux réseaux pour filter les communications. Ca me parait être une topologie réseau plus standardisé que ce que tu te proposes de faire et surtout moins risqué. En tout cas, vu que tu parles d'ISA , commences par là. A mon humble avis ca serait le plus logique.

    Concernant ta passerelle LAN, si le WSUS à une carte réseau directement relié au LAN, il n'y aura pas besoin de passerelle sur cette patte le concernant. D'ailleurs, par rapport à ce que tu dis, je vois pas ou tu as une passerelle LAN sur ton réseau actuel. Si tu mets un ISA sur ton LAN pour sécuriser les connexions entrantes et sortantes alors oui il sera la passerelle de ton LAN.

    WINS sert pour la résolution NETBIOS. C'est utile pour des postes NT et des vieilles applications (encore nombreuses) utilisant ce protocole. Ca permet de limiter les broadcast NETBIOS surtout.

     

     

     

    Wednesday, August 11, 2010 8:21 PM
  • Si tu souhaites tout de meme partir sur cette "infra" (car je crois deviner que tu dois être sur un réseau de petite taille); il faut t'assurer qu'il n'y a pas de routage entre tes cartes réseaux (cf. http://support.microsoft.com/kb/323339/en-us).

     

    Tu n'as pas besoin de toucher aux bindings.

    Ton LAN n'a pas besoin de passerelle s'il n'a pas besoin de sortir ailleurs que sur son propre sous réseau.

    Si tu ajoutes le net via un ISA, ton ISA sera la passerelle.

    Le service WINS peut être utile si tu as encore des applications qui se reposent sur de la résolution Netbios pour fonctionner. Cela limitera les flux de diffusion.

     

    A bientôt

     


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    • Marked as answer by chrbar Thursday, August 12, 2010 12:16 AM
    Wednesday, August 11, 2010 10:23 PM
    Moderator
  • Bonjour Alexandre,

    Pour des raisons de sécurité notre LAN n'est pas encore connecté à l'Internet, et nous n'avons pas encore acquis un serveur ISA (ou autre proxy).

    Sachant que le serveur WSUS dispose d'un première carte réseau connectée au LAN, l'idée était de lui ajouter une seconde carte réseau qui serait connectée à l'Internet (via un routeur) pour aller chercher les mises à jour chez Microsoft.

    J'avais initialement essayé avec un même réseau IP (192.168.1.0) sur les deux cartes réseaux (celle côté LAN et celle côté routeur), mais cela ne fonctionnait pas.

    Il me fallait ajouter des routes statiques pour forcer le serveur WSUS à passer par la seconde carte réseau (celle côté routeur) pour aller sur le Web, mais vue que les adresses IP des serveurs de Microsoft changent, je ne pouvais pas le faire dans ce sens.

    Donc on m'a conseillé de faire l'inverse, à savoir que la route par défaut du serveur WSUS soit la seconde carte réseau (celle côté routeur) et configurer une route statique pour les réseaux internes sur la première carte réseau... mais pour ça, je me vois obligé d'utiliser des réseaux IP différents entre les deux cartes.

    J'ai testé et cela fonctionne, mais je présume qu'il doit y avoir d'autres solutions, voir plus conventionnelles... mais en l'absence de serveur proxy et avec un LAN ne pouvant pas être connecté à l'Internet, je ne voyais pas comment faire autrement pour que le serveur WSUS puissent être connecté au LAN et au Web en même temps?

    Merci,
    Christophe

    Thursday, August 12, 2010 2:12 AM
  • Ok merci Freddy.

    Donc en plus de ne laisser uniquement que la couche TCP/IP active sur la carte réseau connectée au routeur... tu me conseilles de désactiver le routage entre les deux cartes réseaux du serveur WSUS... pour ça la valeur de IPEnableRouter doit être "0"?

    Merci,
    Christophe

     

    Thursday, August 12, 2010 2:56 AM
  • Ok merci Freddy.

    Donc en plus de ne laisser uniquement que la couche TCP/IP active sur la carte réseau connectée au routeur... tu me conseilles de désactiver le routage entre les deux cartes réseaux du serveur WSUS... pour ça la valeur de IPEnableRouter doit être "0"?

    Merci,
    Christophe

     


    oui pour la désactivation du routage (ce qui est le cas par défaut si tu n 'as pas touché à la clé de registre; ou activé le service Routage et acces distant).

    Cela évitera justement qu'un attaquant puisse "rebondir" sur cette machine pour se connecter à ton LAN.


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    Thursday, August 12, 2010 11:09 PM
    Moderator
  • Bonjour,

    a partir du moment ou le WSUS est attaqué, le LAN est déjà compromis. Peut importe les fonctionnalités de routage. Une fois pénétré sur la machine WSUS, pas besoin d'avoir du routage pour accéder à ton LAN. Ca serait faux de penser que tu puisses agir en toute sécurité de cette façon. Ça revient au même que d'autoriser l'accès Internet sur ton réseau.

    Si tu n'as pas d'accès Internet sur ton LAN, les mises à jour de sécurité ne sont pas une priorité. Tu peux te contenter dans un premier de pousser les derniers services packs et d'économiser pour l'acquisition d'un pare-feu.

    Friday, August 13, 2010 6:18 AM
  • Bonjour,

    a partir du moment ou le WSUS est attaqué, le LAN est déjà compromis. Peut importe les fonctionnalités de routage. Une fois pénétré sur la machine WSUS, pas besoin d'avoir du routage pour accéder à ton LAN. Ca serait faux de penser que tu puisses agir en toute sécurité de cette façon. Ça revient au même que d'autoriser l'accès Internet sur ton réseau.

    Si tu n'as pas d'accès Internet sur ton LAN, les mises à jour de sécurité ne sont pas une priorité. Tu peux te contenter dans un premier de pousser les derniers services packs et d'économiser pour l'acquisition d'un pare-feu.

    Bonjour Alexandre,

    nous sommes d'accord sur le fait qu'une fois le WSUS compromis, le LAN l'est tout autant.

    Cependant l'avantage de bloquer le routage inter-nic est "d'obliger" l'attaquant à faire un rebond manuel (via une console par exemple) depuis le WSUS pour ensuite accéder au LAN; Si le routage avait été activé, l'attaquant pourrait faire en sorte de se connecter directement aux ressources du LAN.


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    Friday, August 13, 2010 10:14 AM
    Moderator