RED-GREEN-ORANGE

[1ternet]

Bonsoir. <BR> <BR>Je lis depuis les messages du forum et je vois beaucoup de gens parler de DMZ. <BR> <BR>Zone démilitarisée ! Sur la ligne orange (pas du fournisseur téléphonique mdr). <BR> <BR>Est-ce important de faire cela si j'ai un serveur ? Je suis en train de configurer mon serveur web qui lui est protéger par la méthode "Green Red". <BR> <BR>Merci pour vos futurs messages. <BR> <BR>1ternet.

[tomtom]

L'interet d'une dme est le suivant : <BR>Si tu as un serveur accesible sur internet, un attaquant peut profiter d'une faille dans le logiciel serveur (par ex, une faille de apache sur ton serveur web) pour prendre la main sur le serveur. Supposons que l'attaquand devienne "root" sur ton serveru. Si celui-ci est en DMZ, l'attaquant doit franchir une nouvelle fois le firewall pour attaquer les postes du "green", et en général les communications de la dmz vers le green sont très controlées par le firewall. <BR> <BR>Mais si ton serveur est dans le green, alors l'attaquant peut se promener à son aise sur ton réseau et y faire pas mal de degats. <BR> <BR>En règle générale, le réseau green est celui qui est "isolé" d'internet, rien sur internet ne devrait pouvoir y acceder directement. Tu places dedans tes serveurs sensibles, bases de données etc.... Et si tu veux publier des services sur internet (un serveur web par exemple), tu le places sur la dmz.... <BR>Ceci-dit, si ton réseau vert est "dedié" à l'hebergement du serveur, ou encore si la sensibilité du serveur est largement prépondérante par rapport à celle des autres postes de ton réseau, tu peux te passer de la dmz, en considérant ainsi que si ton serveur est "tombé", alors cela n'est pas grave si tes autres postes "tombent" aussi. <BR>En particulier, si tu n'as qu'une seule machine qui sert à la fois de serveur web/ftp et de client, ca ne sert strictement à rien de le positionner sur une DMZ. <BR> <BR>J'espère avoir repondu clairement à ta question. <BR> <BR>T.

[1ternet]

Merci tomtom pour ta réponse. <BR> <BR>Alors je vais agir de la façon suivante en reconfigurant mon IPCop pour tout bien comprendre (dabord ajouter une 3ème carte réseau sur ma machine). <BR> <BR>1ère carte réseau en zone "RED" relier directement sur internet. <BR>2ème carte en zone "ORANGE" relier directement sur mon serveur web. <BR>3ème carte en zone "GREEN" relier à un switch qui est ensuite relier à une workstation. <BR> <BR>Cela paraitrait correcte. <BR> <BR>Et pour ne pas trop étouffer le forum, j'aurais une autre question. J'en profite. <BR> <BR>On m'avait déjà répondu pour les adresses IP, mais je ne comprend pas un point. <BR> <BR>Si j'ai mis 192.168.1.1 ipcop le prend pour un DNS. Mais si je dois aussi installer mon serveur DNS sur mon serveur web (pour la reconnaissance du nom de domaine) cela ne va t'il pas causer un conflit ? <BR> <BR>Merci d'avance.

[Gesp]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>Si j'ai mis 192.168.1.1 ipcop le prend pour un DNS. Mais si je dois aussi installer mon serveur DNS sur mon serveur web (pour la reconnaissance du nom de domaine) cela ne va t'il pas causer un conflit ? </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>C'est pas tout à fait cela. IPCop relaie la requète DNS pour les postes sur le Green uniquement auprès des serveurs DNs dont les adresses sont renseignées dans la configuration de la connexion . <BR> <BR>Tu n'as pas besoin d'installer un serveur DNS juste pour un nom sur le ORANGE. Tu mets ce nom dans le fichier /etc/hosts d'IPCop <BR>