salut, juste une précision même si un peu HS: > Michel Pya écrit : > -Mettre un adblocker sur les postes (adblockplus.org). il faut éviter adblock plus qui se permet de décider quelles pubs sont bonnes pour toi (moyennant $$ de la part des entreprises bien sur) https://www.nytimes.com/2016/09/19/business/media/adblock-plus-created-to-protect-users-from-ads-opens-the-door.html ublock origin est mieux et refuse de se vendre https://en.wikipedia.org/wiki/UBlock_Origin
Le mar. 18 févr. 2020 à 03:03, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : > > DUVERGIER Claude a écrit : > > Je comprends surtout que ces bonnes pratiques ne s'appliquent pas (ou > > difficilement avec du matériel qui n'est pas prévu pour ça). > > Absolument. Bon en plus, même si je pouvais parce que mon matos le > supporte, un de mes deux VLANs de management est VLAN 1 (j'ai pas assez de > place dans un /24 pour tout). Honnêtement, j'ai mieux à faire que de > renuméroter 250 switches dans mon VLAN 1 pour faire plaisir à Cisco. > > Les trucs à faire en priorité (pas forcément dans l'ordre) : > - Se débarrasser de la machinbox de m... si possible. Une longue route > souvent semée d'embuches. > - Chaque fois que tu te loggues dans ton switch ou routeur çà t'envoie un > email. > - Un bon pare-feu. Pour 12 utilisateurs, je mets çà : > https://www.untangle.com/shop/z4w-appliance/ > Même avec les apps gratuites c'est sympa. > - Mettre un adblocker sur les postes (adblockplus.org). > - Utiliser un DNS externe qui filtre la merdasse (j'utilise OpenDNS). > - Port Security : une seule adresse MAC par port, çà évite les clampains > qui mettent un switch 5 ports sous leur bureau. > > Dans la réalité, çà fait plus pour toi que de mettre un VLAN de management > pour 2 switchs. > > > > Et aussi l'impression de mettre en place une grosse infra pour gérer > > un réseau de 12 personnes qui font du web toute la journée. > > Bah, sur la liste du FRnOG c'est pas interdit. Je ne suis pas le seul qui > a (à la maison) plus de VLANs que d'utilisateurs, même quand on compte ceux > à 4 pattes. Faire une usine à gaz c'est rarement productif mais si > t'apprends quelque chose au passage... > > Si t'as vraiment du temps à perdre : RBL eBGP avec uRPF, réseau local avec > certificats 802.1x, WiFi avec PEAP et RADIUS, 2FA, il y a pleins de trucs > très sympa pour fabriquer ton usine à gaz. > > > Si j'ai bien compris, dans un système "idéal" : > > * Le LAN de management serait dans un VLAN (différent de 1, eg. 66) et > un réseau IP "M" > > * Le LAN des postes serait dans un VLAN (eg. 42) et un réseau IP "W" > > * Le LAN des serveurs de fichiers serait dans un VLAN (eg. 55) et un > réseau IP "S" > > * Le poste de l'administrateur serait dans le VLAN 42 et réseau IP "W" > > * Les switchs seraient L3-capable et réseau IP "M" > > * Le trafic entre les réseaux IP¨"M" et "W" serait audité et contrôlé > > (bloqué/autorisé : white-liste par IP/MAC/RADIUS? par les switchs L3. > > * Le trafic entre les réseaux IP¨"W" et "S" serait au minimum audité par > les switchs L3. > > Quelque chose comme çà, oui. > > > A défaut de switchs L3 ont peut poser un "gros" routeur (ou un serveur > qui fait > > routeur) pour l'inter-VLAN mais il lui faudra des liens costauds avec > chaque switch. > > Non, c'est trop limitant en termes de vitesse (ou alors çà va couter un > bras). L3 switch qui route à "wire speed", en tout cas entre les postes et > les serveurs. Pour l'infra réseau ça suffit. > > Michel. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- JC --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
