DMZ et Vmware

[yun]

Bonjour,

Je souhaite créer une DMZ et installer les serveurs suivants:
* Serveur Proxy Parent (squid)
* Serveur Reverse Proxy (squid)
* Serveur DNS cache (bind9)
* Serveur relai SMTP (postfix + greylisting)

Les serveurs cités seront gérés par le même serveur ESX vmware que d'autres serveurs applicatifs du LAN (http://www.hsc.fr/ressources/presentations/ossir_vmware_2008/img31.html).

En terme de sécurité, est-il permis d'installer des serveurs DMZ et serveurs LAN sur le même cluster de production?

Si oui, je pense qu'il faudra créer une nouvelle interface réseau (VMNet DMZ) avec un adressage privé (192.168.x.x/24).

Autre question, étant donné qu'il y aura un proxy squid sur le LAN avec authentification AD, vous me conseillez de mettre quels services sur le proxy squid DMZ qui sera parent? (juste un relai ? cache http?).

Si vous avez d'autres conseils à me donner, je suis prenneur.

[jdh]

C'est très bien de lire les docs et études de hsc, mais il faut les lire jusqu'au bout.

Il m'apparaît comme totalement évident que l'on NE PEUT/DOIT PAS virtualiser sur la même machine des VM situées sur des zones différentes. Je suis surpris que l'on puisse se poser la question. Je pense que hsc ne saurait dire le contraire.

C'est comme le firewall. Il ne doit JAMAIS être virtualisé.

Evidemment, je parle de "production".


Je ne vois guère l'intérêt de mettre un serveur DNS en zone Orange. Il m'étonnerait fort que vous soyez capable d'héberger vous même votre nom de domaine.


Je n'ai rien compris sur le proxy Squid/AD en dmz.

[yun]

Il m'apparaît comme totalement évident que l'on NE PEUT/DOIT PAS virtualiser sur la même machine des VM situées sur des zones différentes. Je suis surpris que l'on puisse se poser la question.

Il faut des arguments pour dire cela.

Je ne vois guère l'intérêt de mettre un serveur DNS en zone Orange. Il m'étonnerait fort que vous soyez capable d'héberger vous même votre nom de domaine.

Etant donné qu'il y a déjà des serveurs DNS en interne, je souhaite installer un serveur DNS cache pour avoir un lien LAN <--> DMZ <--> Internet et non LAN <--> Internet.

Je n'ai rien compris sur le proxy Squid/AD en dmz.

Le Squid enfant en LAN permets une authentification par l'AD. Celui en DMZ sera ''parent''. Comme avec le DNS, je souhaite avoir un lien LAN <--> DMZ <--> Internet.

Voilà.

Avez-vous une réponse par rapport à ma question?

Autre question, étant donné qu'il y aura un proxy squid sur le LAN avec authentification AD, vous me conseillez de mettre quels services sur le proxy squid DMZ qui sera parent? (juste un relai ? cache http?).

Merci et bonne continuation dans la bonne humeur et dans un esprit constructif et d'entre-aide.

[ccnet]

Il m'apparaît comme totalement évident que l'on NE PEUT/DOIT PAS virtualiser sur la même machine des VM situées sur des zones différentes. Je suis surpris que l'on puisse se poser la question.

Il faut des arguments pour dire cela.

Comme l'écrivait jdh, c'est une bonne idée de consulter le site d'HSC. Et c'est bien aussi de lire l'ensemble des documents sur un sujet donné, ici la sécurité avec Vmware ESX. Il existe une présentation de Mars qui revient sur ce sujet : http://www.hsc.fr/ressources/presentati ... /img8.html
en particulier.
Je pense aussi que : un serveur ESX = une zone de sécurité. Les raisons sont que l'on ne peut pas se fier totalement à l'étanchéité de l'hyperviseur. Le constat est que globalement elle est surestimée. Plusieurs patchs depuis 2 ans ont servi à corriger des failles où il était possible de prendre le contrôle de l'hyperviseur lui même. La première raison est donc que ESX, comme tout logiciel comporte des bugs dont certains affectent la sécurité.
La seconde raison est encore plus embêtante. Elle est simplement inhérente aux bugs des processeurs intel eux même.
Il en ressort que, personnellement, je ne met pas sur un même serveur ESX des vm destinées à se trouver dans des zones différentes.

Pour le reste je me pose une question. D'après ce que je lis :

Je souhaite créer une DMZ et installer les serveurs suivants:
* Serveur Proxy Parent (squid)
* Serveur Reverse Proxy (squid)
* Serveur DNS cache (bind9)
* Serveur relai SMTP (postfix + greylisting)

Le choix a été fait d'une dmz unique. On y trouve un proxy d'une part et d'autre part une passerelle smtp et un reverse proxy. Ce qui signifie que vous se côtoyer dans la même zone des flux sortants (http) et des flux entrant (requête externe en http, smtp). Ce n'est aussi sût, a priori qu'une systme avec deux dmz, interne et externe, mais tout dépend des besoins, des ressources. Je me demande si le choix d'une architecture relativement légère (ce n'est pas un reproche mais un constat) est cohérent avec ce luxe de dns en cascade et de proxy parent, enfant. A mon avis il y a une mauvaise hiérarchie des priorités. Sous réserve de ce que nous ignorons bien sûr.

[yun]

C'est vrai; je devrais me diriger vers une DMZ privée avec serveur cache DNS et proxy squid parent et une DMZ publique avec reverse proxy et relai SMTP.

Par contre, je ne comprends pas cette phrase

Je me demande si le choix d'une architecture relativement légère (ce n'est pas un reproche mais un constat) est cohérent avec ce luxe de dns en cascade et de proxy parent, enfant.

[ccnet]

2 proxy, 3 dns (au moins) c'est beaucoup non ?