Virtualisation sécurité ?

[thonik]

Bonjour,

Voici un plan de ce que mon boss voudrait :



Sachant qu'Internet1 et 2 sont des connections internet pro avec IP fixe.

Voulant mettre le reverse-proxy en machine virtuelle,

mes questions sont les suivantes :

* Quels sont les risques encouru en comparaison à une machine non-virtuelle en reverse-proxy?

* Quels sont les types d'attaque possible ?

* Est-ce une solution envisageable et pas trop risquée pour une entreprise?

J'ai lu cet article
http://www.c-s.fr/Innovation-technologique-virtualisation-et-securite_a249.html mais j'aimerai avoir votre avis

[ccnet]

On recommence ?

Où sont les serveurs web à protéger ? Dans votre problème nous ne savons toujours pas si l'usage d'un reverse proxy est justifié. En l'état des informations la réponse est non.

Cette architecture est stupide et inutilement complexe donc contraire à une bonne sécurité.

Je partage entièrement les points de vues développés dans l'article cité.
Edit ->
Sur la sécurité. Le reste est un peu "littéraire".

Pourquoi utiliser une vm si il n'y a qu'un système à installer sur cette machine ?

La bonne architecture, du moins dans son principe, est :

Dmz Ext (Reverse Proxy, SMTP AS AV)
|
|
Cluster Pfsense --> Lan
|
|
Dmz Int (Mail , Proxy)

Internet 1 et 2 étant connecté au cluster Pfsense.
Alors dans chaque dmz on peut envisager Vmware EXS pour virtualiser les différentes machines.
Bien sûr tout est cloisonné dans des Vlans (qui ne soit pas le Vlan 1 si on utilise du Cisco).

[jdh]

Pour se faire un avis, il faudrait lire PLUSIEURS documents de référence.

Celui cité essaie de situer les enjeux en évitant tout terme technique. Ce faisant, il mélange des notions : par exemple "obscurantisme" au lieu de "obscurité" : vraiment très différent ! Cela aurait du sauter au yeux à la relecture !

Autre exemple "Nous l’avons vu, la virtualisation n’est pas encore inscrite dans une démarche de sécurisation informatique, même si elle a initialement été créée pour cela." Cela n'est certainement pas pour la sécurité qu'on a mis au point la virtualisation ! Contre sens !

Autre ineptie : "observer le comportement d’un logiciel malveillant (malware) - virus, ver, spyware, etc. - dans un système sain sans avoir à infecter une machine physique". Cela ne devrait concerner QUE des chercheurs. Au lieu de cela, on répand l'idée qu'il faut disposer de son pot de miel (Honey pot) et de son IDS/IPS sans que soit, le moins du monde, évoqué les exigences que cela entraine ...


Bref, je ne suis pas d'accord avec ce document. Notamment les risques de failles, pourtant évoquées, ne sont pas l'avertisseur pour l'auteur qu'ils sont pour moi. En outre, son aspect peu technique puisque destiné à des "manager", nuit à la justesse d'analyse. Contrairement au célébre aphorisme de Clémenceau sur la guerre, la sécurité est une chose trop sérieuse pour la laisser à des non-spécialistes !


Pour ce qui me concerne, je ne virtualiserais pas des firewalls. Je ne virtualiserais pas, non plus, des machines situées sur des zones différentes. Parce que cela me semble plus sûr, et est plus sûr.


Concernant un reverse proxy, jusqu'à plus ample compréhension, cela est destiné à être situé devant un serveur web (et pourquoi pas virtualisé avec). Faudrait-il encore disposer en interne d'un serveur web. Derrière une simple ligne ADSL, cela me semble avoir assez peu d'intérêt. Pourquoi pas derrière une ligne SDSL ? De plus, j'ai du mal à percevoir l'intérêt du multi wan face à un hébergement interne.


Il me semblerait largement plus rationnel d'avoir seulement 2 firewalls : il n'y a pas de sécurités supplémentaires en enchainant 2 firewalls, il n'y a que des risques supplémentaires ...


Il y a une règle : un machine hôte compromise = toutes les VM compromises !

[thonik]

Merci pour les infos. Il est évident que j'avais cherché de la doc aussi ailleurs.

[quote="jdh"Pourquoi pas derrière une ligne SDSL ? De plus, j'ai du mal à percevoir l'intérêt du multi wan face à un hébergement interne.
[/quote]

Pour ce qui est des 2 lignes wan, c'est parce qu'on gère 2 entreprises dans un même bâtiment.
Une connexion internet par entreprise... et si une connexion internet tombe, le traffic est redirigé sur la 2eme connexion.
On peut considérer ça comme de la "redondance" d'internet. C'est une sécurité.

[ccnet]

Une connexion internet par entreprise... et si une connexion internet tombe, le traffic est redirigé sur la 2eme connexion.

Dans ce cas le schéma indiqué n'est pas forcément adapté selon la politique de sécurité en vigueur dans chaque entité. Quid de la séparation du trafic entre les deux entreprises ? On n'en sort pas , on en revient toujours au même point : prendre les choses dans l'ordre. Les logiciels et le matériel viennent en dernier.
Dans tous les cas le premier schéma est impropre de toute façon. Il est manifestement le fruit de l'imagination d'une personne qui ne comprend pas, ne connait pas les questions de sécurité.

[jdh]

Tu as cherché de la doc ailleurs.

Certes, mais ce document n'est pas bon (il est plein de choses incomprises, vagues, dénués d'esprit pratique, trop "manager", ...) : il faut décourager la virtualisation de firewall !


Ce qui compte, c'est savoir PRECISEMENT ce qu'on veut faire !

Donc un schéma simple, des zones simples, des serveurs dans leurs zones, des règles de flux, ...

Le mieux est l'ennemi du bien, comme dit le proverbe ...

[thonik]

ok je vais revoir ça.

Merci pour vos conseils