Transfert de données entre la DMZ/LAN

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Transfert de données entre la DMZ/LAN

Messagepar yanis97 » 28 Fév 2005 12:48

Bonjour


Mon application web (un extranet) utilise un LDAP situé ds une DMZ pour identifier des users et affecter des rôles à ces users.
Cet annuaire est alimenté et maj par un autre LDAP situé ds le LAN par un système de réplication automatique.
Le pb c'est que mon application modifie les data (les mots de passe des users) du LDAP de la DMZ et vue que c'est interdit de répliquer de la DMZ vers le LDAP du LAN.
Alors j'essaye de trouver un solution automatique pour maj le LDAP du LAN sans passer par l'export des data (LDIF) qui nécessaite un support amovible.
Toute solution sera la bienvenue.



Merci
yanis97
Matelot
Matelot
 
Messages: 4
Inscrit le: 28 Fév 2005 12:43

Messagepar gregory.legrand » 28 Fév 2005 13:21

J'ai eu la chance de pouvoir mettre la meme architecture que toi en place, et nous avons mis les memes politique de sécurité en place que les tiennes avec TLS (cryptage des données...). Nous n'avons pas pu autoriser le changement des mdp, et nous n'avons pas trouver de solution autre que l'export de data pou les mdp de l'arbre LDAP....

Je ne pense pas qu'il existe de possibilité... en tout cas nous n'en avons pas trouvé...


Je ne post pas ce msg pour te décourager, mais juste pour te prévenir que si il existe une solution elle ne doit pas être si évidente....
Avatar de l’utilisateur
gregory.legrand
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 185
Inscrit le: 08 Fév 2005 09:50
Localisation: Orléans et Brest

Tranfert de data entre DMZ/LAN

Messagepar yanis97 » 28 Fév 2005 14:04

gregory.legrand a écrit:J'ai eu la chance de pouvoir mettre la meme architecture que toi en place, et nous avons mis les memes politique de sécurité en place que les tiennes avec TLS (cryptage des données...). Nous n'avons pas pu autoriser le changement des mdp, et nous n'avons pas trouver de solution autre que l'export de data pou les mdp de l'arbre LDAP....

Je ne pense pas qu'il existe de possibilité... en tout cas nous n'en avons pas trouvé...


Je ne post pas ce msg pour te décourager, mais juste pour te prévenir que si il existe une solution elle ne doit pas être si évidente....


Bonjour Gregory

Merci pour ta réponse, mais alors comment font les gens lorsqu'il s'agit d'une base de données : comment se fait la synchronisation des data entre le base de la DMZ et celle du LAN ?
J'aimerais bien savoir ?



A+;
yanis97
Matelot
Matelot
 
Messages: 4
Inscrit le: 28 Fév 2005 12:43

Messagepar gregory.legrand » 28 Fév 2005 15:46

En général pour des raisons de sécurité en ne met pas de "base de données" dans la dmz... On la laisse dans le LAN et on configure des ACL particulier sur le routeur, ou alors on définit les le chemin des requetes SQL depuis le serveur vers le LAN, en identifiant le port d'ecoute et d'émission (propre à ton sgbdr : oracle, mysql, mssql...) surtout laissez fermé les ports d'administration de la dmz vers le lan...pour des raisons évidente de sécurité!!!

Voilà jspR que j'a pu répondre à tes questions!!
Avatar de l’utilisateur
gregory.legrand
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 185
Inscrit le: 08 Fév 2005 09:50
Localisation: Orléans et Brest

Mot de passe

Messagepar yanis97 » 28 Fév 2005 16:44

gregory.legrand a écrit:En général pour des raisons de sécurité en ne met pas de "base de données" dans la dmz... On la laisse dans le LAN et on configure des ACL particulier sur le routeur, ou alors on définit les le chemin des requetes SQL depuis le serveur vers le LAN, en identifiant le port d'ecoute et d'émission (propre à ton sgbdr : oracle, mysql, mssql...) surtout laissez fermé les ports d'administration de la dmz vers le lan...pour des raisons évidente de sécurité!!!

Voilà jspR que j'a pu répondre à tes questions!!




Désolé de te drénager encore mais j'ai une autre question concernant l'oubli d'un mot de passe : ds mon application il se peux q'un user perd son mot de passe, alors je souhaite qu'il puisse se reconnecter en lui envoyant un mail automatiquement un password bidon qu'il pourra utiliser pour se connecter.
Impossible de crypter le password, alors comment faire ?
As-tu des conseils sur ce sujet ?


Merci
yanis97
Matelot
Matelot
 
Messages: 4
Inscrit le: 28 Fév 2005 12:43

Re: Mot de passe

Messagepar gregory.legrand » 01 Mars 2005 12:25

yanis97 a écrit:
gregory.legrand a écrit:En général pour des raisons de sécurité en ne met pas de "base de données" dans la dmz... On la laisse dans le LAN et on configure des ACL particulier sur le routeur, ou alors on définit les le chemin des requetes SQL depuis le serveur vers le LAN, en identifiant le port d'ecoute et d'émission (propre à ton sgbdr : oracle, mysql, mssql...) surtout laissez fermé les ports d'administration de la dmz vers le lan...pour des raisons évidente de sécurité!!!

Voilà jspR que j'a pu répondre à tes questions!!




Désolé de te drénager encore mais j'ai une autre question concernant l'oubli d'un mot de passe : ds mon application il se peux q'un user perd son mot de passe, alors je souhaite qu'il puisse se reconnecter en lui envoyant un mail automatiquement un password bidon qu'il pourra utiliser pour se connecter.
Impossible de crypter le password, alors comment faire ?
As-tu des conseils sur ce sujet ?


Merci


Oui il faut que le serveur de messagerie utilise SSL!!!!!!Sinon je ne vois pas d'autres solutions...dsl
Avatar de l’utilisateur
gregory.legrand
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 185
Inscrit le: 08 Fév 2005 09:50
Localisation: Orléans et Brest

Crypter mot de passe webmail

Messagepar maestro1303 » 17 Juil 2006 14:34

Bonjours à tous,
Félicitation pour ce forum bien animé.

Je suis dans une entreprise depuis peu, et quelqu'un y a déjà installé un webmail(non sécurisé apparemment). Car je trouve que les mots de passe des utilsateurs et leur login circulent en clair!!!!
Le webmail utilisé est du type (je connais pas bien la différence: horde, IMP etc..), serveur RedHat.

Alors mes questions:
1.Est-il possible de compiler un autre module avec apache ou horde pour crypter les mot de passe au départ du client pour que ceux ci ne soit plus visibles avec des outils du genre ethereal?
2.comment le faire sans couper le service?

Merci
maestro1303
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 16 Juil 2006 16:30

Messagepar Methos_Hi » 17 Juil 2006 21:34

Horde est le framework et IMP l'un des modules l'utilisant. La fonction de ce dernier étant le webmail.

Horde est un ensemble de service Web qui fonctionne avec un serveur Web, donc, en locurrence ici Apache.
Tu peux configurer Apache pour accéder à Horde en https. Il suffit de suivre les documentatiojns d'apache.
Evidemment, le mod_ssl (je crois que c'est le nom) doit être installé mais c'est souvent le cas par défaut.

Le service sera coupé quelques secondes ou qualques minute au pire.

Le problème c'est que les utilisateurs devront modifier l'url pour y accéder.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

IMP et mot de passe en clair

Messagepar maestro1303 » 18 Juil 2006 13:34

Merci beaucoup Methos_Hi de ces explications je suis là uniquement pour un audit de sécurité bien que je connaise assez bien apache sous unix, mais pas l'incidence de certains modules comme mod-ssl sur le cryptage des données.

mon grand problème est que ce webmail fonctionne déjà depuis plusieurs années et je constate que les login et mot de passe circulent en clair sur le réseau. Ce que je veux maintenant c'est :

1. Avoir plus de détail sur ce framework et ses modules(ce que tu as bien commencé par me faire!!)

2. Savoir quel module excat à compiler pour que les mots de passe des gens ne circulent plus en clair sur le réseau.

Merci d'avance.
maestro1303
Quartier Maître
Quartier Maître
 
Messages: 21
Inscrit le: 16 Juil 2006 16:30

Messagepar Methos_Hi » 18 Juil 2006 21:25

Pour info : http://www.horde.org/

Mais pour le https, c'est ici qu'il faut regarder : http://httpd.apache.org/docs/
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)