Jump to content
Geeks Nation Forums
Sign in to follow this  
1o80B

Controleur de domaine - Range IP

Recommended Posts

Yo !

Voici.

Usine 1 Range ipv4 : 192.168.151.X

Usine 2 Range ipv4 : 192.168.152.X

Nous avons un lien fibre qui nous connecte.

Dans mon Vlan si je met les autorisation que les 2 range se parlent ensemble.

C'est possible de créer un DC secondaire qui se trouve dans le range 152 qui se connecte sur mon DC Principal qui est dans le range 151 ?

Car je metterais la réplication la nuit et je me metterais un DHCP sur le range 152 pour l'usine 2.

Vous en pensez quoi?

Share this post


Link to post
Share on other sites

Car ils mettent leur fibre dans le range 10.X.X.X et dans leur routeur on peux faire un Vlan.

Donc un prend notre range ici et le range labas et on dit au routeur que les range sont accessible entre eux.

Tk si j,ai bien compris.

Share this post


Link to post
Share on other sites

S'ils sont routés tes sous-réseaux communiqueront.

Pour le DC secondaire ça se fait oui faut modifier les settings du serveur primaire pour qu'il réplique au bon endroit/sous-réseau.

Fait attention au type d'encapsulation de ton lien WAN/fibre. Certains type bloquent les mises à jour de routage dynamique (OSPF, EIGRP, etc...) si certaines options ne sont pas activées comme avec le frame-relay et l'option "broadcast" par exemple. Donc t'auras pas de connectivité de bout en bout si tes routeurs périphériques (default gateway de tes sous-réseaux) on pas connaissance des sous-réseaux distants.

Le best si t'as juste du point-to-point en fibre c'est de router statique. Un coup que ta connectivité est complète tu config ton master DC avec le nouveau DC sec.

Pourquoi dans le VLAN les autorisation?

Sûrement des access-lists qui autorisent les vlan ou certains vlan à se voir. Faut tjrs mettre des ACL quand ya des vlan surtout s'ils sont routés pour limiter le type de traffic voulu, limiter l'accès telnet ou whatever ce que tu veux bloquer ou permettre.

@+!

Edited by SebQc77

Share this post


Link to post
Share on other sites

Merci de ton explication SebQC, c'est apprécier !

Nous pensions faire un DC Master a l'autre usine aussi avec un serveur DHCP / DNS

Tu en penses quoi toi?

Share this post


Link to post
Share on other sites

Ça dépends bcp de la vitesse de traitement de tes routeurs locaux (vitesse du CPU et de la commutation de paquet) et de la distance qui sépare les usines. C'est sûr que ça peut se faire un master avec un sec à l'autre bout mais c'est pas vraiment conseillé à cause de la latence accumulée. Plus t'as de périphérique qui traitent les paquets (désencapsulation, réencapsulation, choix de la route, listes d'accès) plus la latence sera élevée. Donc l'authentification de tes users sera d'autant plus longue si elle a bcp de chemin à parcourir et d'étapes/périphériques à franchir.

Cela dit, si le budget de ton projet le permet t'es ben mieux d'y aller avec un DC master comme tu prévois faire, surtout si les machines sont déjà achetées et tout. Côté disponibilité c'est tjrs conseillé la redondance des services au cas où le master 1 plante.

Si vous virtualisez, c'est encore plus conseillé d'avoir un master + une machine prête a démarrer si le master plante et à l'autre bout un DC master + une machine backup en stand-by. Avec réplication de nuit comme tu disais.

Faite-vous du VPN ? J'espère parce que sinon ta réplication d'Active Directory peut être interceptée par un comique à l'interne qui s'y connais un peu.

Aussi pour les vlan sais-tu si vous utilisez le STP v3 ? Les 2 premières versions échangaient leur information en clair donc très vulnérables aux attaques de reconnaissance pour kekun qui veux mapper ton réseau et se faire une idée de sa topologie interne. Si vous fonctionnez avec du Cisco faut désactiver le CDP itoo qui est activé par défaut et qui transmet aux voisins de couche 2 directement connectés des infos sur l'OS du routeur, ses adresses d'interface, ses vlan etc... tout ça en clair...

Faudras repenser votre stratégie de sécurité si des informations vitales et privées doivent traverser le lien WAN entre vos 2 usines.

Si t'as d'autres question shoot :) M'en va faire mon stage dans une grosse shop de 1200 employés alors ça va me pratiquer un peu ;)

@+!

Edited by SebQc77

Share this post


Link to post
Share on other sites

Ça dépends bcp de la vitesse de traitement de tes routeurs locaux (vitesse du CPU et de la commutation de paquet) et de la distance qui sépare les usines. C'est sûr que ça peut se faire un master avec un sec à l'autre bout mais c'est pas vraiment conseillé à cause de la latence accumulée. Plus t'as de périphérique qui traitent les paquets (désencapsulation, réencapsulation, choix de la route, listes d'accès) plus la latence sera élevée. Donc l'authentification de tes users sera d'autant plus longue si elle a bcp de chemin à parcourir et d'étapes/périphériques à franchir.

Cela dit, si le budget de ton projet le permet t'es ben mieux d'y aller avec un DC master comme tu prévois faire, surtout si les machines sont déjà achetées et tout. Côté disponibilité c'est tjrs conseillé la redondance des services au cas où le master 1 plante.

Si vous virtualisez, c'est encore plus conseillé d'avoir un master + une machine prête a démarrer si le master plante et à l'autre bout un DC master + une machine backup en stand-by. Avec réplication de nuit comme tu disais.

Faite-vous du VPN ? J'espère parce que sinon ta réplication d'Active Directory peut être interceptée par un comique à l'interne qui s'y connais un peu.

Aussi pour les vlan sais-tu si vous utilisez le STP v3 ? Les 2 premières versions échangaient leur information en clair donc très vulnérables aux attaques de reconnaissance pour kekun qui veux mapper ton réseau et se faire une idée de sa topologie interne. Si vous fonctionnez avec du Cisco faut désactiver le CDP itoo qui est activé par défaut et qui transmet aux voisins de couche 2 directement connectés des infos sur l'OS du routeur, ses adresses d'interface, ses vlan etc... tout ça en clair...

Faudras repenser votre stratégie de sécurité si des informations vitales et privées doivent traverser le lien WAN entre vos 2 usines.

Si t'as d'autres question shoot :) M'en va faire mon stage dans une grosse shop de 1200 employés alors ça va me pratiquer un peu ;)

@+!

WOUHA nice mec ;)

On passe sur une lien privé optique entre les 2 Usines.

Peux tu expliquer le fait qu'un tit coune peux intercepté ma réplication AD ?

Share this post


Link to post
Share on other sites

Exemples:

1- Le local technique où ton commutateur dans lequel est branché est pas barré et un gars de l'intérieur, un autre employé, se branche dans un port actif associé dans le même vlan que ton contrôleur de domaine. Erreur classique du gars qui change de config mais désactive pas les port qui servaient avant.

2- Un peu plus complexe, si ton commutateur est en serveur DTP (le mode par défaut) et que le gars accède à la config (port console non-sécurisé), il peut associer un port a un vlan existant et s'y brancher ensuite pour faire un syn flood sur le routeur (DOS) du vrai DC qui reçoit et spoofant l'adresse de ce dernier pour recevoir le traffic de réplication.

3- Si ton comm est en mode client on peut brancher un pc dedans et envoyer des révisions de config en se faisant passer pour le serveur DTP pour modifier, ajouter, supprimer des vlan ou carrément effacer le fichier vlan.dat du comm et bourrer la mémoire tampon jusqu'à ce qu'il plante pour qu'il devienne un genre de concentrateur passoire avec les ports tous ouverts.

4- Il peut aussi juste faire de la reconnaissance sur place, modifier certaines configurations ou trouver les adresses du vlan de gestion des switch et router de l'usine pour ensuite s'y connecter par telnet à distance. S'il est brillant il utilise des réseaux WEP crackés pour ses connections à distance et il spoof sa MAC address. Il peut ensuite modifier les liste d'accès pour permettre à certains IP de dépasser la zone démilitarisées et d'entrer dans le réseau privé de l'usine. Ensuite scan des failles des OS des serveurs de l'entreprise, privilege escalation sur les machines victimes et utilisation du parc informatique pour des motifs détournés. Ou carrément DOS.

Local technique barré et surveillé par caméra = Winner

Sécurisation par mot de passe forts = Winner

VPN du type site-a-site = Winner

Séparer le vlan de gestion du traffic normal et le transférer du vlan par défaut (1) à un autre inutilisé et surtout secret... = Très Winner

@+!

Edited by SebQc77

Share this post


Link to post
Share on other sites

Salut Seb, j'avais aps vu ta réponse sorry !on a opter pour faire un nouveau SITE qui comprend 2 Range de notre autre usine.

Local technique barré et surveillé par caméra = Already done.

Sécurisation par mot de passe forts = Already done

VPN du type site-a-site = VLAN site a site.

Séparer le vlan de gestion du traffic normal et le transférer du vlan par défaut (1) à un autre inutilisé et surtout secret... = Pour le moment impossible, on a garder default(1) pour notre vieux range (projet a long terme de tout changer)

Share this post


Link to post
Share on other sites
Sign in to follow this  

×
×
  • Create New...