serveur web : une patte en DMZ une autre en LAN.

[xandre75]

Bonjour,
Pour des raisons de dépot de fichiers et d'accès à une base de données externe, j'ai un serveur web sous Windows XP (c'est très moche) en LAN qui héberge le site Internet et notre site Intranet.
Ce qui est mal on est d'accord (le projet n'est pas de ma conception).

Pour limiter la casse, je pensais alors lui ajouter une 2e carte réseau qui serait dans la DMZ. Je reconfigure la règle NAT dans ipcop et ainsi les visiteurs accèderaient au site internet dans la DMZ et non plus dans le LAN.

La question est alors :
Est ce bien utile puisque les cartes réseaux sont sur la même machine tournant sous Windows XP ? Est ce mettre un pansement sur une jambe de bois ?

[Stirner]

La question est alors :
Est ce bien utile puisque les cartes réseaux sont sur la même machine tournant sous Windows XP ? Est ce mettre un pansement sur une jambe de bois ?

Non

[fleib]

Pour des raisons de sécurité, il ne faut pas qu'une machine accessible depuis le net soit raccordée physiquement sur le LAN, cela créé une passerelle possible pour une intrusion...

Pourquoi ne pas mettre uniquement la machine en DMZ et les utilisateurs du LAN accèdent à celle ci au travers du parefeu?

[xandre75]

Me doutais de la réponse. Merci de me confirmer.

@fleib :
parce qu'à l'époque il a été décidé que ce windows xp "serveur intranet" intégré dans un domaine (permet la mise à jour antivirus centralisée et mise a jour Windows via WSUS) allait ensuite servir pour le site internet (apache : serveurs virtuels).
De plus le site intranet a besoin d'accéder a une base de données qui n'accepte que les connexions du pilote ODBC sous windows (c'est la "vraie" raison du pourquoi windows).
Et on doit aussi pouvoir y deposer des fichiers (partage dossier). Ca encore, ca ne devrait pas poser probleme de LAN vers DMZ.
Si je le mets entierement dans la DMZ il me faudra alors créer des pinholes (ipcop) de DMZ vers LAN.
Les créer d'accord mais lesquels ?
Sans compter que les requetes DNS ne sont plus à faire sur les dns du LAN.
Il me faut trouver tous les ports nécessaires pour l'accès à la base, au serveur antivirus, au controleur de domaine (authentification ordinateur et utilisateur), au serveur wsus ...

[jdh]

Je confirme ce qu'écrit fleib : ne jamais créer de court-circuit, jamais.

Une machine est dans une zone et surtout pas dans 2 (sauf le firewall).

(Au passage, cette règle induit qu'un serveur de virtualisation ne doit contenir que des VM de la même zone logique.)


La petite difficulté, avec Windows, est juste de trouver tous les ports à autoriser de Orange vers Green ...

Concernant le DNS, on peut ajouter dans c:\windows\system32\drivers\etc\hosts les définitions nécessaires.
Concernant l'antivirus, la configuration peut devenir "install autonome" et non plus "install centralisée".
Concernant Windows Update, il peut être sorti de WSUS.

Mais il restera un nombre important de protocoles SMB/Windows/WINS nécessaires

[xandre75]

Merci à vous de m'avoir répondu.

Va falloir jouer du sniffer type currentport (Nirsoft). J'espère ne pas avoir à jouer avec WireShark pour ca.

Je vais attendre un peu pour afficher l'étiquette [Résolu] au topic. Je vais tacher de retrouver les ports nécessaires et vous les lister avant.
Ca pourra surement etre utile pour d'autres.

[fleib]

Finalement, on peut en deduire que la solution la plus sure et la plus simple est d'acheter (une petite config peut suffire) une nouvelle machine pour le serveur web et la mettre en DMZ.

CQFD

[ccnet]

Il y a chez Microsoft (KB US) une documentation assez importante qui explique comment traiter avec les dmz dans le cas d'un domaine unique avec des serveurs situés dans des zones différents.

A noter que le placement d'un serveur Microsoft en dmz situé dans le même AD que les autres serveurs est un réel problème de sécurité compte tenu de la réplication de l'annuaire sur tous les serveurs. Si le serveur MS est partiellement corrompu en dmz avec la possibilité de "dumper" la base SAM, tout le domaine est compromis. Expérience vécue. Le risque est fort. Il reste à espérer que les fichiers déposés peuvent être sérieusement contrôlés.

[xandre75]

Pour des raisons de sécurité, il ne faut pas qu'une machine accessible depuis le net soit raccordée physiquement sur le LAN, cela créé une passerelle possible pour une intrusion...

Pourquoi ne pas mettre uniquement la machine en DMZ et les utilisateurs du LAN accèdent à celle ci au travers du parefeu?

Ca me fait tilter. Est ce a dire qu'on ne peut utiliser le même switch / commutateur pour connecter les zones LAN, DMZ, et accessoirement Internet /WAN ?

Plus précisément faut-il un commutateur par zone, chaque commutateur étant raccordé par le biais du parefeu (ipcop / pfsense ...) ?
Si oui, pourquoi ?

[jdh]

Il semble évident qu'il FAUT un switch (matériel) pour chaque zone.

La raison est tout aussi évidente : les paquets broadcasts sont envoyés sur n'importe quel port c'est à dire sur n'importe quelle zone s'il n'y a qu'un switch : le premier PC compromis verra alors presque tout passer !

Et ne me dites pas VLAN ! Pour votre info, il n'est pas si compliqué de passer au travers de VLAN !

Un switch 10/100 non administré à 5 ports et à 15€ doit largement suffire pour la DMZ par exemple !


Que dit Christian CALECA de ce sujet ?

[fleib]

Pour abonder dans le sens de jdh, je même que la segmentation et l'isolement physique des flux est un des principes de base de la sécurité réseau.

[ccnet]

Je signe aussi. Le cloisonnement des flux est critique.

[xandre75]

Merci pour vos réponses.
J'ai pris note et ai mis en pratique à l'heure qu'il est. J'avais effectivement 2 switches 100mbs "à 15€".
De par cette réorganisation, il me semble même que l'accès web me semble, pas plus rapide mais, plus réactif.