Serveur de fichier plutôt en green ou en DMZ ??

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar the_g_cat » 12 Mars 2004 18:31

Salut !! <BR> <BR>J'utilise l'IPCop 1.4a10, et je voulais savoir la configuration la plus sûre pour mettre un serveur de fichier public et privé. En l'occurence, ce serais un serveur ftp pour le monde extérieur, et un serveur SaMBa, NFS et certaienement Appleshare pour nous autres du réseau local. J'ai donc deux choix pour mettre le serveur : soit un green avec un forward des ports qui vont bien sur ma machine avec le ftp, mais je suppose que ça présente de relativement gros risques, ou je la met dans la DMZ, mais pourrais-je alors avoir un accès libre aux serveurs NFS, SMB et Appleshare depuis le green ?? <BR> <BR>Merci d'avance <IMG SRC="images/smiles/icon_bise.gif">
Avatar de l’utilisateur
the_g_cat
Major
Major
 
Messages: 80
Inscrit le: 07 Jan 2004 01:00

Messagepar tomtom » 12 Mars 2004 19:11

La règle de base est la suivante : <BR> <BR>Tout serveur accessible depuis internet devrait etre mis en dmz <BR> <BR>ET <BR> <BR>Tout serveur en DMZ devrait avoir le moins d'acces possible vers le reseau green. <BR> <BR>Dans ton cas, la dmz semble un bon choix, mais cela depend de la teneur des fichiers que tu vas y mettre pour le green. <BR> <BR>Si ce sont des fichiers sensibles, le mieux serait de separer les services.. <BR> <BR>1 ftp en dmz + 1 seveur de fichiers en green pour le green. <BR> <BR> <BR>L'idée que tu dois garder en tete : <BR>Comment un attaquant peut-il me nuire ? <BR> <BR>1- vol de données confidentielles -> ne pas mettre ces données sur un serveur accessible depuis le net ! <BR>2- prise de controle d'un ou plusieurs serveurs du green -> isoler les services accessibles de l'exterieur dan sla DMZ <BR>3- mise hors service de mes serveurs... <BR> <BR>etc.. <BR> <BR>reflechis en terme de problemes.. <BR>Suppose qu'un attaquant trouve une faille dans le servuer ftp que tu utilises (disons proftpd), sur la dmz. Il prend le controle de la machine, il devient root. <BR> <BR>Si tu as les données utilisées par ton green sur ce serveur, elles sont perdues (corrompues, volées, inutilisables). <BR> <BR>sens inverse : si une faille sur le même serveur est utilisée alors que ce serveur est dans le green, alors les mêmes données sont perdues ET le lan est corrompu. <BR> <BR>Typiquement, ce n'est pas la bonne solution ! <BR> <BR> <BR>Donc pour moi : <BR> <BR>le top = un serveur ftp dedié en orange et un serveur de fichier privé dans le green (avec eventuellement des acces discrets du green vers le ftp orange) <BR> <BR>moins bon = le tout en dmz (economie d'une machine, mais réélle baisse de secu !) <BR> <BR>nul = le tout en green avec des services sensibles comme un ftp accessibles ! <BR> <BR> <BR>Mais attention, si des données vraiment sensibles (== le coeur de metier de ta boite) sont sur la dmz avec le ftp, alors la 2ème solution ne vaut pas mieux que la 3 ème ! <BR> <BR>Séparation des services + Segmentation des réseaux !!!! <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar the_g_cat » 12 Mars 2004 19:41

Bof, données sensibles, pas trop : étudiants inside. Non, je voulais juste savoir quelle utilisation présente le moins de risque, je me doute bien qu'avec une seule machine accessible et en local et en public, y'a des risques. <BR> <BR>M'enfin, d'un autre côté, je vois pas trop pourquoi on se payerait le 'luxe' de se faire 2 serveurs de fichiers alors qu'on est trois dans la coloc <IMG SRC="images/smiles/icon_wink.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> !! Bon, mais si je te comprends bien, ça conforte ma première idée : le serveur de fichier en DMZ !! Par contre, IPCop laisse passer le green vers DMZ de façon transparente, ou est-ce qu'il faut configurer des choses en plus ??
Avatar de l’utilisateur
the_g_cat
Major
Major
 
Messages: 80
Inscrit le: 07 Jan 2004 01:00

Messagepar Franck78 » 12 Mars 2004 19:55

Bravo Tomtom, belle explication, <BR>claire argumentée et tout. <BR>Résultat : bof non. <BR> <BR>Ca servira à d'autres. <BR> <BR>Et les colocs, si vous n'etes que trois, <BR>vraiment besoin de ftp? <BR> <BR>Pas possible vpn vos postes externe vers <BR>le cop ? <BR> <BR>Bye <BR>
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar the_g_cat » 12 Mars 2004 20:10

Ben, le ftp, d'une, c'est pas que pour nous trois, et de deux, c'est une solution de facilitée, parce que les deux autres, c'est pas des cracks en info ... En fait, ils en ont rien à battre comment ça marche, ils veulent que ça amrche, et le plus simplement possible ... D'ailleurs, je pense que je vais être le seul à me servir du ftp, style pour mettre mes progs pour que les profs puissent les dl (marre d'imprimer/graver dans tous les sens ...). Enfin bon, comme je disais, ça a pas une sécurité cruciale qui va faire que la coloc' va couler ou pas <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_wink.gif"> ... <BR> <BR>Au passage, merci pour l'explication, tomtom <IMG SRC="images/smiles/icon_bise.gif"> <IMG SRC="images/smiles/icon_bise.gif">
Avatar de l’utilisateur
the_g_cat
Major
Major
 
Messages: 80
Inscrit le: 07 Jan 2004 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité