Controleur de domaine en DMZ ??

[yoann-38]

Salut ! <BR> <BR>Voila, j'ai un souci : <BR>voici la config actuelle du probleme : <BR> <BR>

Code: Tout sélectionner

<BR>FAI <BR>| <BR>| <BR>IpCop <BR>| <BR>| <BR>LAN <BR>

<BR> <BR>Les besoins sont : un serveur de fichiers/ controleur de domaine / serveur mail . <BR> <BR>Le probleme, c'est qu'il n'ont le budget que pour un seul serveur. <BR> <BR>Est il totalement nul au nivo sécurité de mettre le controleur de domaine et serveur de fichiers dans la DMZ sachant que je le place ds la DMZ a cause du serveur de mail !!! <BR> <BR>Que dois-je faire ??

[tomtom]

Ben ce qui est bien ennuyeux, c'est que si un pirate reussit à exploiter une faille sur le serveur de mail (et c'est loin d'etre impossible), alors le DC est compromis, et c'est quand meêm ennuyeux pour le reseau vert, tu ne trouves pas ? <BR> <BR>Franchement, essaye de convaincre ta direction que l'achat d'un serveur dedié au dc (ou même avec un autre serveur du green...) risque fort d'être plus economique que les journées qu'il devra te payer pour remettre d'aplomb en cas de compromission.... <BR> <BR>T.

[xjlxx]

C'est vrai que ce n'est pas logique du tout de mettre un PDC dans une Dmz <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR> <IMG SRC="images/smiles/icon_bise.gif">

[kerozene]

en plus ca serait le bordel pour le PDC, non, étant donné que DMZ et LAN sont sur des réseaux logiques différents ?

[yoann-38]

C clair que ca me parait une abération mais je n'ai pas le choix ( enfin il ne depend pas de moi). <BR> <BR>Que se passera t'il si qqun a la main sur le PDC ??

[xjlxx]

Rien de bon pour toi a mon avi ! <BR>Et ca ne sera pas tes têtes pensante qui en prendront la responsabilité, enfin si peu être, j'espère <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR> <IMG SRC="images/smiles/icon_eek.gif"> <BR>_________________ <BR>je préfère kiffer la bière que faire la guerre ... <BR><BR><BR><font size=-2></font>

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-20 10:38, yoann-38 a écrit: <BR>C clair que ca me parait une abération mais je n'ai pas le choix ( enfin il ne depend pas de moi). <BR> <BR>Que se passera t'il si qqun a la main sur le PDC ?? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Ben il cree des comptes, il en supprime, il change les mdp, il changes les droits des utilisateurs etc..... <BR> <BR> <BR>Pour Kero : je ne connais pas assez windows, là c'est plutot à toi même de te repondre... <BR>Effectivement, je ne sais pas si le PDC n'a pas besoin d'acceder aux machines du domaine directement (sans que la connexion soit etablie par le poste en question). ? <BR>Si c'est la cas, il va falloir jour du DMZ Pinholes, et alors là ça veut dire que si un attaquant prend la main sur le DC, il controle tout le reseau.... <BR> <BR>Ca me fait froid dans le dos !! <BR> <BR>T.

[kerozene]

Pour la question auquel je doit me répondre : bah en fait je sais pas trop, car le DNS Active Directory permet quand même beaucoup de choses. <BR> <BR>Par exemple, je n'ai aucun problème particulier pour un domaine enfant et un domaine parent dans deux réseaux logiques différents (ils sont interconnectés par un routeur). Par contre je ne sais pas comment par exemple il se comporterait si un client branché sur le réseau logique du domaine parent pourrait dépendre directement du domaine enfant (tiens je m'en vais tester ca rapidement....) mais à mon avis il n'arrivera pas a localiser le contrôleur du domaine enfant.... à moins qu'il lise d'abord les données du contrôleur de domaine parent qui lui localisera le domaine enfant. <BR> <BR>Ca y'est j'ai testé, bah rien du tout, marche pô, en tout cas par les moyens standard de windows NT pour déclarer un poste dans un domaine dont le contrôleur se situe sur un réseau logique différent. <BR> <BR>Mais bon, c'est clair que je n'ai pas de problème de port entre ces deux réseaux, tout le trafic de l'un vers l'autre est transmis. <BR> <BR>Donc en tout cas pour recentrer sur la question, je ne pense pas cela soit possible avec Windows car les clients doivent être dans le même réseau que le PDC... après sous Linux je ne sais pas , mais comme le dit Tom tom, ca nécessitera de faire des grandes ouvertures entre ta DMZ et ton LAN et dans ce cas là, autant tout (clients et serveur) placer dans ta DMZ, qui deviendra alors ton LAN... Hein ? un serveur web et un serveur mail dans un LAN ??? Z'êtes pas fous c'est la porte ouverte à toutes les attaques !!! <BR> <BR>Comme quoi sécurité et avarice font rarement bon ménage !!!! <BR> <BR>En fait, c'est surtout le fait de vouloir mettre un PDC qui fout le bordel... si tu n'avais voulu qu'un Serveur de mail et Web on t'aurait dis SME ou CC mais alors là avec ca.... j'ai pas de soluce toute prète. <BR> <BR>

[yoann-38]

Merci de vos réponses pour une question aussi bete !!! <BR>Je V poser un ultimatum : 2 serveurs ou pas de serveurs, G pas envie de tt me retaper dans 1 mois !! <BR> <BR>Merci @++