IPCOP et DMZ

par **malcolm** » 29 Jan 2009 15:34

Bonjour,
Une société de la place m'a demandé de leur mettre en place un Firewall pour protéger leur DMZ.
Dans la DMZ: On a un serveur Web avec une application sur laquelle des clients doivent se connecter pour des consultations et le serveur de bases de données se trouve dans le LAN (en principe).
Dans le LAN, les utilisateurs peuvent accéder à la DMZ ou à Internet en passant par le Firewall.

J'ai pensé leur mettre IPCOP comme ceci:
* Mettre 3 cartes réseaux sur le IPCOP
* Ouvrir le port 80 sur le routeur Cisco et Ipcop et à travers "Redirection de port" du firewall, rediriger les paquets vers le serveur Web dans la DMZ.
* Le serveur web contacte le serveur de bases de données en passant par le firewall
* Autoriser la connexion à Internet depuis le LAN

Pensez vous que ce soit bon pour protéger le serveur Web de la DMZ?

Merci

par **ccnet** » 29 Jan 2009 16:22

Tout va très vite dans votre message et des questions importantes sont éludées. Ipco ? Forcément Ipcop ? Comment être certain que cela convient, je pense en particulier aux ip publiques disponibles de votre client.
On n'installe pas un firewall pour sécuriser une dmz. On sécurise un SI et pour cela on a besoin de mettre en oeuvre certaines techniques (firewall, vpn, dmz, vlan, proxy, reverse proxy, ...). Sécuriser un SI c'est une architecture qui par construction permettra une certaine sécurité et dans laquelle on utilisera certains dispositifs comme un firewall, mais pas seulement.
A quel point cette application et la base de données sont elles importantes pour l'entreprise ? Les moyens à mettre en oeuvre ne sont pas forcément les mêmes.
Potentiellement, mettre le serveur web directement face à internet est insuffisant. Quand bien même un firewall est entre les deux, les requêtes http arrivent directement sur le serveur.
Vous préjugez que les seuls risques viennent d'internet d'où le placement du serveur de base de données dans le lan. Or le danger vient pratiquement pour moitié de l'intérieur. Il est donc nécessaire de faire en sorte que de l'intérieur on ne puise pas déverrouiller discrètement la porte du garage.

par **malcolm** » 29 Jan 2009 19:10

ccnet a écrit:Tout va très vite dans votre message et des questions importantes sont éludées. Ipco ? Forcément Ipcop ? Comment être certain que cela convient, je pense en particulier aux ip publiques disponibles de votre client.

IPCOP parce que:
- C'est le seul que je connaisse et que j'ai eu à tester et ça m'a l'air assez robuste
- Les clients d'ici sont trop regardants côté Tarif, prix bas, alors j'ai pensé qu'IPcop ferait l'affaire.
Je me trompe?

On n'installe pas un firewall pour sécuriser une dmz. On sécurise un SI et pour cela on a besoin de mettre en oeuvre certaines techniques (firewall, vpn, dmz, vlan, proxy, reverse proxy, ...). Sécuriser un SI c'est une architecture qui par construction permettra une certaine sécurité et dans laquelle on utilisera certains dispositifs comme un firewall, mais pas seulement.

A part la DMZ et le firewall qui peut rouler avec advproxy y at-il d'autres choses à ajouter?

A quel point cette application et la base de données sont elles importantes pour l'entreprise ? Les moyens à mettre en oeuvre ne sont pas forcément les mêmes.

A vrai dire, Il s'agit d'une petite banque de la place. L'application est importante car les clients se connectent dessus pour voir le solde de leur compte par exemple.

Potentiellement, mettre le serveur web directement face à internet est insuffisant. Quand bien même un firewall est entre les deux, les requêtes http arrivent directement sur le serveur.
Vous préjugez que les seuls risques viennent d'internet d'où le placement du serveur de base de données dans le lan. Or le danger vient pratiquement pour moitié de l'intérieur. Il est donc nécessaire de faire en sorte que de l'intérieur on ne puise pas déverrouiller discrètement la porte du garage

Il est vrai que la plupart des attaque viennent du LAN.
Je suppose qu'il est trop dangereux de mettre la base de données dans la DMZ.
Selon vous, configurer le firewall seulement ne sufit pas pour protéger le SI.
Que me préconisez vous?

Merci

par **ccnet** » 30 Jan 2009 11:27

IPCOP parce que:
- C'est le seul que je connaisse et que j'ai eu à tester et ça m'a l'air assez robuste
- Les clients d'ici sont trop regardants côté Tarif, prix bas, alors j'ai pensé qu'IPcop ferait l'affaire.
Je me trompe?

Réaliser des prestations de sécurité et proposer un produit parce que c'est le seul que l'on connaisse ce n'est pas raisonnable. Certes ipcop est robuste. Mais ses fonctionnalités sont assez spécifiquement ciblées. Ipcop n'est pas le seul firewall open source loin de là.

A part la DMZ et le firewall qui peut rouler avec advproxy y at-il d'autres choses à ajouter?

C'est le moins que l'on puisse dire.

Il est vrai que la plupart des attaque viennent du LAN.

Ce n'est pas ce que j'ai dit.

Ce projet justifie l'usage de deux dmz. Une interne, l'autre externe.
Le serveur web devrait être placé derrière un reverse proxy (Apache + ModSecurity).
Le reverse proxy sera en dmz externe.
Le serveur web et le sgbd seront en dmz interne. Chaque serveur sera enfermé dans un vlan distinct.
On n'utilisera pas de proxy pour l'accès à internet sur le firewall mais sur une machine séparée.
Tous les flux (entrants et sortant) seront étroitement contrôlés et limités.
L'entreprise achètera un certificat auprès d'un tiers de confiance pour utiliser SSL correctement sur le serveur Web.
Un serveur Radius sera sans doute nécessaire.
Tous les switchs, seront configurés avec soin (nac, bloquage ports inutilés, pas d'utilisation du vlan 1, ...)
La sécurité physique des systèmes (serveurs, switch, routeurs, ...) est importante. Ils seront dans des locaux fermés sans vitre.
Il existe sans doute un serveur de messagerie, il faut l' intégrer dans la solution de sécurité.
Voilà pour les grandes lignes.

IPCOP et DMZ

IPCOP et DMZ

Qui est en ligne ?