Bonjour,
Je dois mettre en place une dmz dans mon réseau de ma petite entreprise. Pour cela, j'ai utilisé Debian linux avec netfilter pour faire le firewall et les reditections.
Dans mon LAN, on trouve : mon serveur dhcp, AD, de fichier et dns.
Dans ma DMZ (pour l'instant) : serveur sharepoint, et vpn
Mon "problème", c'est que mon serveur sharepoint et vpn ont besoin d'intérogé l'AD pour la gestion/accès des utilisateurs.
Pour cela, dois-je faire une réplication du controleur de domaine (AD et dns) sur un serveur en dmz ? je suppose que oui, car pour s'authentifer sur le domaine il faut beaucoup de port ouvert, ce qui n'est pas super pour la sécurité. mais dans le doute, je préfère demander pour avoir la meilleur solution qui ait.
Merci d'avance pour votre aide/conseil
authentification des utilisateurs vpn/sharepoi depuis la DMZ
Modérateur: modos Ixus
13 messages
• Page 1 sur 1
authentification des utilisateurs vpn/sharepoi depuis la DMZ
par LinuxAddict » 09 Juin 2009 11:40
- LinuxAddict
- Matelot
- Messages: 7
- Inscrit le: 09 Juin 2009 11:29
par LinuxAddict » 09 Juin 2009 14:46
je n'avais pas penser a radius.. Mais sharepoint ne gère que l'authentifaction kerberos..
Merci pour votre suggestion
Merci pour votre suggestion
- LinuxAddict
- Matelot
- Messages: 7
- Inscrit le: 09 Juin 2009 11:29
par jdh » 09 Juin 2009 17:37
Bonsoir,
Q1/
Pourquoi un firewall sous Debian/Netfilter (iptables) ?
Des solutions comme IPCOP ou pfSense ne convenaient pas ? Elles ont "tout en 1 clic". C'est bien pratique d'avoir une machine firewall presque prête dès la fin de l'install ...
Q2/
Ne serait-il pas plus judicieux de placer en DMZ un reverse proxy vers le Sharepoint plus simplement placé dans le LAN ?
Mais ce cas ne serait destiné qu'à un accès par le web et sans VPN.
Avec du VPN (genre openVPN), il n'y a plus besoin d'isoler Sharepoint en DMZ : un accès vpn direct vers le LAN et ça roule. (Mais c'est moins sûr bien sur).
A défaut, un firewall tel Shorewall est largement capable de définir très simplement le trafic nécessaire à l'authentificiation Windows/Kerberos. (genre AllowSamba ?)
Q1/
Pourquoi un firewall sous Debian/Netfilter (iptables) ?
Des solutions comme IPCOP ou pfSense ne convenaient pas ? Elles ont "tout en 1 clic". C'est bien pratique d'avoir une machine firewall presque prête dès la fin de l'install ...
Q2/
Ne serait-il pas plus judicieux de placer en DMZ un reverse proxy vers le Sharepoint plus simplement placé dans le LAN ?
Mais ce cas ne serait destiné qu'à un accès par le web et sans VPN.
Avec du VPN (genre openVPN), il n'y a plus besoin d'isoler Sharepoint en DMZ : un accès vpn direct vers le LAN et ça roule. (Mais c'est moins sûr bien sur).
A défaut, un firewall tel Shorewall est largement capable de définir très simplement le trafic nécessaire à l'authentificiation Windows/Kerberos. (genre AllowSamba ?)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par LinuxAddict » 09 Juin 2009 20:04
Bonsoir,
Q1)
J'ai choisi debian car c'est une distrubution que je connais bien et très légère. Je n'utilise pas les versions "tout en 1" car le principale avantage qu'elles ont, c'est une interface graphique pour les configurer et je ne les utiliserais jamais. Je sais que l'ont peut configurer aussi les fichiers de conf a la main, mais pk changer "une équipe qui gagne" ?
Q2)
Il y aura un reverse proxy, par la suite et il n'y aura pas que des serveurs sharepiont, mais aussi apache.
Le vpn est utilisé par les employé, et certain client on accès au serveur sharepoint.. donc le vpn qui donne accès au lan, c'est pas la bonne solutions..
Ma question va semblé "stupide" peut etre, mais lorsque l'on met en place un reverse proxy, les serveur web peuvent etre dans le LAN ? il ne devrait pas etre derrière le reverse proxy ? je n'ai jamais fais, mais cela m'intérresse..
Donc si je comprend bien, authorisé l'accès au domaine pour permettre au serveur/sharepoint/vpn de s'authentifié n'est pas très grave ?
Merci
Q1)
J'ai choisi debian car c'est une distrubution que je connais bien et très légère. Je n'utilise pas les versions "tout en 1" car le principale avantage qu'elles ont, c'est une interface graphique pour les configurer et je ne les utiliserais jamais. Je sais que l'ont peut configurer aussi les fichiers de conf a la main, mais pk changer "une équipe qui gagne" ?
Q2)
Il y aura un reverse proxy, par la suite et il n'y aura pas que des serveurs sharepiont, mais aussi apache.
Le vpn est utilisé par les employé, et certain client on accès au serveur sharepoint.. donc le vpn qui donne accès au lan, c'est pas la bonne solutions..
Ma question va semblé "stupide" peut etre, mais lorsque l'on met en place un reverse proxy, les serveur web peuvent etre dans le LAN ? il ne devrait pas etre derrière le reverse proxy ? je n'ai jamais fais, mais cela m'intérresse..
Donc si je comprend bien, authorisé l'accès au domaine pour permettre au serveur/sharepoint/vpn de s'authentifié n'est pas très grave ?
Merci
- LinuxAddict
- Matelot
- Messages: 7
- Inscrit le: 09 Juin 2009 11:29
par jdh » 09 Juin 2009 21:01
Q1/
J'ai longtemps construit mes firewalls à partir de Debian.
Très vite, j'ai trouvé Shorewall qui permet de gérer le filtrage de façon très rapide et très efficace.
Mon firewall perso est toujours sur cette base.
... Mais c'est du passé ... Et surtout un script iptables est un peu dépassé (enfin AMHA).
Pour une machine dédié firewall, il est bien plus simple et efficace d'utiliser pfSense ou IPCOP.
Je le sais parce que ... j'ai essayé.
Et d'autant plus parce que de nombreuses briques utiles (par exemple le VPN) sont déjà dans ces produits "tout en 1" ...
Bref ...
Q2/
Un reverse proxy en DMZ peut accéder à un serveur web situé dans le LAN sans difficulté me semble-t-il. (De préférence j'utiliserai un proxy de qualité comme Squid sur Debian bien sur).
J'ai longtemps construit mes firewalls à partir de Debian.
Très vite, j'ai trouvé Shorewall qui permet de gérer le filtrage de façon très rapide et très efficace.
Mon firewall perso est toujours sur cette base.
... Mais c'est du passé ... Et surtout un script iptables est un peu dépassé (enfin AMHA).
Pour une machine dédié firewall, il est bien plus simple et efficace d'utiliser pfSense ou IPCOP.
Je le sais parce que ... j'ai essayé.
Et d'autant plus parce que de nombreuses briques utiles (par exemple le VPN) sont déjà dans ces produits "tout en 1" ...
Bref ...
Q2/
Un reverse proxy en DMZ peut accéder à un serveur web situé dans le LAN sans difficulté me semble-t-il. (De préférence j'utiliserai un proxy de qualité comme Squid sur Debian bien sur).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par LinuxAddict » 09 Juin 2009 21:46
Q1 )
Je ne connaissais pas shorewall.. je vais regarder ca..
J'ai tester IPcop et pfsense, mais leur interface web ne permettait pas de créer des règles aussi précise que de les faire a la main.. Donc je suis rester a la vielle méthode..
Q2)
Je pense aussi qu'il pourrait y accéder, mais cela ouvre un porte en DMZ et LAN, ce qui faut évité.. et si a chaque ajout de serveur on doit rajouter une règles au firewall, c'est pas le plus pratique.. (AMHA)
Mais revenons a ma question de départ si cela vous dérange pas.. Faut-il plutot faire une réplication de l'AD/DNS ou ouvrir les ports du firewall entre dmz et lan ?
Je ne connaissais pas shorewall.. je vais regarder ca..
J'ai tester IPcop et pfsense, mais leur interface web ne permettait pas de créer des règles aussi précise que de les faire a la main.. Donc je suis rester a la vielle méthode..
Q2)
Je pense aussi qu'il pourrait y accéder, mais cela ouvre un porte en DMZ et LAN, ce qui faut évité.. et si a chaque ajout de serveur on doit rajouter une règles au firewall, c'est pas le plus pratique.. (AMHA)
Mais revenons a ma question de départ si cela vous dérange pas.. Faut-il plutot faire une réplication de l'AD/DNS ou ouvrir les ports du firewall entre dmz et lan ?
- LinuxAddict
- Matelot
- Messages: 7
- Inscrit le: 09 Juin 2009 11:29
par jdh » 09 Juin 2009 22:33
Q1/
Avec Shorewall, il est extrêmement simple de créer une règle, mais c'est encore plus simple avec pfSense (y compris avec pas mal de perfectionnement : par exemple les limites).
Pour IPCOP, il faut évidemment utiliser BOT pour pouvoir créer des règles fines (parce que sans BOT, je ne vois pas bien ce qu'on peut faire ...).
NB : c'est en regardant le résultat de la conf de Shorewall par iptables -vn -L que l'on comprend la qualité de Shorewall !
Q2/
Est-il nécessaire d'ouvrir TOUS les ports nécessaires à TOUT AD/Kerberos entre LAN et DMZ ? Je ne pense pas que ce soit très "secure".
Alors qu'en utilisant un reverse proxy, il n'y a qu'un seul port à ouvrir. Et encore c'est assez relativement aisément traçable dans un access.log (avec toute l'authentification utile ?).
Avec Shorewall, il est extrêmement simple de créer une règle, mais c'est encore plus simple avec pfSense (y compris avec pas mal de perfectionnement : par exemple les limites).
Pour IPCOP, il faut évidemment utiliser BOT pour pouvoir créer des règles fines (parce que sans BOT, je ne vois pas bien ce qu'on peut faire ...).
NB : c'est en regardant le résultat de la conf de Shorewall par iptables -vn -L que l'on comprend la qualité de Shorewall !
Q2/
Est-il nécessaire d'ouvrir TOUS les ports nécessaires à TOUT AD/Kerberos entre LAN et DMZ ? Je ne pense pas que ce soit très "secure".
Alors qu'en utilisant un reverse proxy, il n'y a qu'un seul port à ouvrir. Et encore c'est assez relativement aisément traçable dans un access.log (avec toute l'authentification utile ?).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par LinuxAddict » 10 Juin 2009 08:22
Q1)
Ca m'intéresse beaucoup, vous m'avez peut etre fais changer d'avis.. je vais retester ces solutions un peu plus en profondeur avant d'installer la Debian (si elle sera toujours choisi....)
Q2)
Je vais directement mettre en place de reverse proxy et mettre mes serveurs web dans le LAN.. c'est vrai que ca sera plus sécurisé (et par la meme occasion plus simple a mettre en place)..
Q3 ) (et oui, ces changement me pose une nouvelle question)
Mon serveur VPN (L2TP) est sur l'un de mes serveur web.. celui ci va se retrouvé dans le LAN.. Est-ce grave ? Ou faut-il qu'il soit "impérativement" dans la DMZ ?
Ca m'intéresse beaucoup, vous m'avez peut etre fais changer d'avis.. je vais retester ces solutions un peu plus en profondeur avant d'installer la Debian (si elle sera toujours choisi....)
Q2)
Je vais directement mettre en place de reverse proxy et mettre mes serveurs web dans le LAN.. c'est vrai que ca sera plus sécurisé (et par la meme occasion plus simple a mettre en place)..
Q3 ) (et oui, ces changement me pose une nouvelle question)
Mon serveur VPN (L2TP) est sur l'un de mes serveur web.. celui ci va se retrouvé dans le LAN.. Est-ce grave ? Ou faut-il qu'il soit "impérativement" dans la DMZ ?
- LinuxAddict
- Matelot
- Messages: 7
- Inscrit le: 09 Juin 2009 11:29
par jdh » 10 Juin 2009 09:27
Q3/ VPN
En matière de VPN, chacun peut choisir ...
- IPSEC : extrêmement sûr, délicat à mettre en oeuvre (NAT Traversal), pas de client free et gratuit;
- OpenVPN : très sûr (config avec certificats), simple à mettre en oeuvre (passe les routeurs sans difficulté), client free et gratuit;
- PPTP : à NE PLUS UTILISER, remplacé par L2TP, valable 1h !;
- L2TP : sûr, norme Microsoft, client inclus dans chaque Windows.
AMHA, le VPN doit être directement placé au niveau du firewall et non être proposé sur une machine en LAN ou en DMZ. Le positionnement sur le firewall permet aussi de définir des règles précises ... ce que ne permet pas un serveur VPN interne (viendra pour OpenVPN dans pfSense 2).
Quand on essaie OpenVPN, on a du mal à s'en passer par la suite. Reste à trouver une petite interface web de management des certificats (phpki ?).
En matière de VPN, chacun peut choisir ...
- IPSEC : extrêmement sûr, délicat à mettre en oeuvre (NAT Traversal), pas de client free et gratuit;
- OpenVPN : très sûr (config avec certificats), simple à mettre en oeuvre (passe les routeurs sans difficulté), client free et gratuit;
- PPTP : à NE PLUS UTILISER, remplacé par L2TP, valable 1h !;
- L2TP : sûr, norme Microsoft, client inclus dans chaque Windows.
AMHA, le VPN doit être directement placé au niveau du firewall et non être proposé sur une machine en LAN ou en DMZ. Le positionnement sur le firewall permet aussi de définir des règles précises ... ce que ne permet pas un serveur VPN interne (viendra pour OpenVPN dans pfSense 2).
Quand on essaie OpenVPN, on a du mal à s'en passer par la suite. Reste à trouver une petite interface web de management des certificats (phpki ?).
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par ccnet » 10 Juin 2009 09:59
jdh a écrit: Reste à trouver une petite interface web de management des certificats (phpki ?).
J'ai commencé à regarder : http://xca.sourceforge.net/
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par LinuxAddict » 11 Juin 2009 08:53
Rebonjour..
Je vais mettre en place le VPN sur le firewall par la suite, une fois que j'aurai déja mis en place lw reverse proxy..
Je me suis renseigner, et les deux que j'ai trouvé qui ont l'air bien sont squid et mod_proxy d'apache.. Lequel me conseillez vous ? je pensais prendre squid..
Sachant que j'ai une adresse ip publique, avec 3 serveurs web a l'intérieur de mon réseau... J'aimerais que www1.monDomaine.com -> srv1, www2.monDomaine.com -> srv2, www3.monDomaine.com -> srv3.. Est-ce possible avec squid ? j'ai vu sur un site que ca ne l'était pas, mais ca me semble bizarre..
edit : j'ai trouvé pour squid.. je me lance dans la config
Je vais mettre en place le VPN sur le firewall par la suite, une fois que j'aurai déja mis en place lw reverse proxy..
Je me suis renseigner, et les deux que j'ai trouvé qui ont l'air bien sont squid et mod_proxy d'apache.. Lequel me conseillez vous ? je pensais prendre squid..
Sachant que j'ai une adresse ip publique, avec 3 serveurs web a l'intérieur de mon réseau... J'aimerais que www1.monDomaine.com -> srv1, www2.monDomaine.com -> srv2, www3.monDomaine.com -> srv3.. Est-ce possible avec squid ? j'ai vu sur un site que ca ne l'était pas, mais ca me semble bizarre..
edit : j'ai trouvé pour squid.. je me lance dans la config
- LinuxAddict
- Matelot
- Messages: 7
- Inscrit le: 09 Juin 2009 11:29
par LinuxAddict » 11 Juin 2009 15:01
voila, je bloque déja la configuration de reverse proxy... Mon but est celui la :
www.MonDomaine.com -> srv1
intranet.Mondomaine.com -> srv2
J'ai regarder la doc sur le site de squid, mais cela ne fonctionne pas.. Mon fichier de conf de squid est :
Code:
J'arrive a accéder, mais j'arrive toujours sur mon serveur 10.6.0.45..
La version de squid que j'ai installer est squid3..
Pouvez-vous m'aider ?
Et question bonus : Est-ce que c'est possible de dire a squid d'aller recherche sur un serveur dns les addresse ip des hote? pour ne pas devoir a chaque fois introduire dans squid les configuration des serveur que l'on ajoute..
www.MonDomaine.com -> srv1
intranet.Mondomaine.com -> srv2
J'ai regarder la doc sur le site de squid, mais cela ne fonctionne pas.. Mon fichier de conf de squid est :
Code:
- Code: Tout sélectionner
http_port 80 accel defaultsite=www.MonDomaine.com
cache_peer 10.6.0.43 parent 80 0 no-query originserver name=www
cache_peer 10.6.0.45 parent 80 0 no-query originserver name=intranet
cache_peer_domain www www.MonDomaine.com
cache_peer_domain intranet intranet.MonDomaine.com
http_access allow all
J'arrive a accéder, mais j'arrive toujours sur mon serveur 10.6.0.45..
La version de squid que j'ai installer est squid3..
Pouvez-vous m'aider ?
Et question bonus : Est-ce que c'est possible de dire a squid d'aller recherche sur un serveur dns les addresse ip des hote? pour ne pas devoir a chaque fois introduire dans squid les configuration des serveur que l'on ajoute..
- LinuxAddict
- Matelot
- Messages: 7
- Inscrit le: 09 Juin 2009 11:29
13 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité