[RESOLU] Comment placer une DMZ entre 2 Firewall ?

[fabzz007]

Salut à tous

Novice dans ce genre de situation je fais appel à vous conseils :

L'objectif est de mettre en place un IPCOP et un ISA SERVER en mode dos à dos... avec entre les 2 ma DMZ

Solution 1 :

------------INTERNET-------------------
------------------|-----------------------
------------------|-----------------------
------------------|-----------------------
------------------V----------------------
---------------Modem-------------------
------------------|-----------------------
---------(red)---|-----------------------
------------------V-----------------------
---------------IPCOP________> DMZ-
-----------------|------(orange)----|----
-----------------|--------------------|----
------(green)--|--------------------|----
-----------------|--------------------|----
-----------------V---(périmetre)- -V----
-----------------ISA SERVEUR 2004----
-----------------------|---------|---------
-----------------------|--(tal)--|---------
-----------------------|---------|---------
-----------------------V--------V---------
----------------------LAN1-----LAN2-----

Solution 2 :

------------INTERNET-------------------
------------------|-----------------------
------------------|-----------------------
------------------|-----------------------
------------------V----------------------
---------------Modem-------------------
------------------|-----------------------
---------(red)---|-----------------------
------------------V-----------------------
---------------IPCOP--------------------
-----------------|------------------------
-----------------|------------------------
----(green)--DMZ----------------------
-----------------|-------------------------
-----------------|-------------------------
-----------------V-------------------------
-----------(périmetre)-------------------
--------ISA SERVEUR 2004-------------
--------------|---------|------------------
--------------|--(tal)--|------------------
--------------|---------|------------------
--------------V--------V------------------
--------------LAN1-----LAN2------------

Selon vous la solution 1 est-elle abérante ? as-t-elle un intéret ? merci pour vos lumière ...

Fabzz.

[Titofe]

Quelle serrai le but de la 1er solution, car là comme ça je ne vois pas !?

Donc je dirais la 2e.

[fabzz007]

Disons que je pensais que ça serai plus claire pour la gestion des rules et que ça permetterai peut être de gérer les traffic en fonction de la zone où il vont en sortie comme en entrée...


par exemple j'authorise 80 en sortie de ISA vers green pour surfer mais pas de isa vers DMZ

alors que dans la solution 2 si j'authorise en sortie je suis obliger de spécifier les exeptions vers mes serveurs en dmz...

sinon on vient de me proposer encore autre chose : Solution 3 :

------------INTERNET-------------------
------------------|-----------------------
------------------|-----------------------
------------------|-----------------------
------------------V----------------------
---------------Modem-------------------
------------------|-----------------------
---------(red)---|-----------------------
------------------V-----------------------
---------------IPCOP________> DMZ
-----------------|------(orange)---------
-----------------|------------------------
------(green)--|------------------------
-----------------|------------------------
-----------------V---(périmetre)--------
-----------------ISA SERVEUR 2004----
-----------------------|---------|---------
-----------------------|--(tal)--|---------
-----------------------|---------|---------
-----------------------V--------V---------
----------------------LAN1-----LAN2-----

Le gros ionconvéniant que je trouve à ça c'est que pour aller sur ma dmz de mon lan je dois faire bosser 2 firewall...

dans quelle situation êtes-vous, vous ?

@++

[jdh]

Sur le schéma 1 (1ere version), il y avait une erreur : la DMZ ne doit être relié qu'à l'IPCOP.

A quoi sert ISA SERVER ?

ISA SERVER est certes un firewall mais il est difficile de le comparer à un IPCOP (en raison du poids et du coût, bien sur )

Je crois qu'il s'agit vraiment d'un fausse impression de sécurité que d'imaginer mettre 2 firewalls successifs !

[fabzz007]

Le prix n'entre pas en compte dans mon cas pour simplifier : en tant qu'établissement scolaire nous avons souscrit à un system de licences d'installer toute la gamme (ou presque) microsoft sur notre parc info sans limitations ou presque...

Derriere isa j'ai différents lan qui ne doivent pas avoir les même droits d'accès et autres restriction ou filtrages or si je ne me trompe pas ipcop ne fait pas de multi-network...

disons que j'ai envie de cumulé les qualité de l'un avec celles de l'autre... et de tout simplement tester une telle coahbitation...

[Taltos]

hum dans ce cas a quoi sert ipcop ?


net

isa

lan


et ca roule... ISA c'est ISA c'est gros c'est lourd, c'est cher mais mine de rien ou gisement de néant ca marche....

[fabzz007]

La mise en place des 2 serveur en dos à dos à pour but d'augmenter la sécurité du parc tout simplement et comme je l'ai déjà dis de pouvoir bénéficier des qualité de l'un ET des l'autre

Pour recentrer un peu : Ma question ne se place pas dans la perspective ou non de mettre 2 firewall mais plutot à l'étape suivante. c'est à dire : "j'ai décider mettre 2 firewall donc comment le faire au mieux "

merci de vos conseils avisés

++

[jdh]

IPCOP est un "vrai" firewall. Au contraire d'ISA SERVER de mon point de vue.

C'est à dire qu'il s'agit d'une solution totalement orientée vers son but : le filtrage. Bien sur, et c'est important, il existe en complément (utile) de nombreux add-ons.

Tandis qu'ISA SERVER demande une bonne expertise pour bien le configurer. (Ce n'est pas parce qu'il est gratuit ou presque, qu'il faut absolument l'utiliser : on doit utiliser ce qui correspond à un besoin et non ce qui est gratuit). (C'est d'ailleurs le côté pervers ou bien vue de la démarche de Microsoft de quasi-donner ses solutions aux établissements d'éducation).

Par contre IPCOP est (très) limité en associant des couleurs aux zones. Mais il y a MNF qui fait ça très bien. Je ne suis pas sur que ce soit mieux avec ISA (réseau interne = Green + réseau de périmêtre = Orange + réseau VPN = Violet ? + réseau externe = Red).

De plus, il faut aussi comprendre qu'il est difficile de bien maitriser 2 systèmes aussi différents. J'ai déjà écrit (parce que j'en suis convaincu) que 2 firewalls n'augmentent pas la sécurité et d'autant plus qu'ils sont différents.

[fabzz007]

si le nom d'isa te dérange on à qu'a le remplacerpar mnf Merci pour ton opinion même si elle est peu HS par moment car comme je te l'ai déjà dis le but de ce topic n'est pas de venter ou non les mérites d'un firewall ou d'un autre... mais plutot de mettre en place une solution dos à dos dans les meilleurs conditions... Je re-reformule ma question donc ma DMZ doit-elle être relier à mes 2 firewall ? si oui d'après quelle schéma (solution 1 2 ou 3) ?

Merci encore...
@++

[fabzz007]

Un petit UP avec un résumé pour ceux qui aurait pas envie de relire tout les message...

Voici ce que je veux faire son mon réseau :


------------INTERNET-------------------
------------------|-----------------------
------------------|-----------------------
------------------|-----------------------
------------------V----------------------
---------------Modem-------------------
------------------|-----------------------
---------(red)---|-----------------------
------------------V-----------------------
FONERA<___IPCOP________> DMZ-
---(blue)-------^------(orange)----|----
-----------------|--------------------|----
-----------------|--------------------|----
------(green)--|--------------------|----
-----------------|--------------------|----
-----------------|--------------------|----
-----------------|---(périmetre)- -V----
-----------------ISA SERVEUR 2004----
----------------|-------|---------|---------
----------------|-------|--(tal)--|---------
----------------|-------|---------|---------
---------------V-------V--------V---------
---------------LAN1--LAN2-----LAN3-----

Voici les question que je me pose :

- Ma DMZ doit elle être relier à mon isa sachant que les lan 1 2 et 3 doivent pouvoir accéder à la DMZ ?
- Le fait de relier ma DMZ à ISA et green à ISA me permet de ne pas donner les même droits en sortie des lan 1 2 et 3 vers la DMZ ou vers green.

Encore une fois je souligne le fait qu'il ne s'agit pas ici de défendre un firewall par rapport à un autre ou encore de dialoguer sur le principe d'avoir 2 firewall mais plutôt de savoir ou mettre ma DMZ ?

Merci a ceux qui ont déjà participé à ce post

@++ Fabzz

[jmripert]

Définition de la DMZ : l'objectif de celle-ci est de mettre à disposition des serveurs sur la toile (web, messagerie...), pas de faire de la sur-enchère de sécurité... me semble-t-il...

2 solutions :

- firewall à 3 pattes : plus lourdingue et plus économique

Code: Tout sélectionner

internet
|
firewall(orange) - dmz
|
lan

- firewall à 4 pattes : moins lourdingue et moins économique

Code: Tout sélectionner

internet
|
firewall
|
dmz
|
firewall
|
lan

Dans ton dernier message tu donne un dessin assez imaginatif...
- lan1 lan2 lan3 sont 3 réseau physique et logiquement différent ?
- ta dmz relié à la fois au 1er et au 2e firewall faut oublier (!!!)

Pour tes questions :
- tes "lan's" pourront toujours avoir accès à la dmz, avec les schémas que je te donne ce sera assez simple
- le fait de faire ce smilblick est lourdingue et pas génial niveau sécurité (avis d'un débutant)

Pour ta dernière question en général l'idée :
- est de faire au plus simple pour être le plus efficace, avoir 1 bon firewall bien configuré vaut mieux que 2 firewalls en mode passoire... ipcop est rapide est simple à mettre en place, isa n'est pas adapté au débutant (on clique partout sans trop savoir où = windows) mais est un très bon firewall (surtout sur un réseau tout m$)
- de faire selon la demande avec les moyens, rarement d'essayer une idée en production
- pour des tests tu mets ton idée quelqu'elle soit loin de ton réseau en utilisant la même connection internet mais en parallèle derrière ton routeur/modem internet

Code: Tout sélectionner

internet
|          |
|          |
test    production

Bon test !
JeanMarc

[jdh]

Bravo Jean-Marc !

Enfin quelqu'un qui décrit des schémas de zones clairs et parfaitement sécure !

Les premiers responsables de sécurité ont imaginé un schéma de base permettant de contrôler les flux :

Code: Tout sélectionner

internet
|
bastion extérieur
|
dmz
|
bastion intérieur
|
lan

(Le terme "bastion" est celui de la traduction française de O'Reilly "Building Firewalls")

Le "bastion" extérieur contrôle le flux sortant de la dmz vers internet ainsi que le flux entrant d'internet vers la dmz.

Le "bastion" intérieur contrôle le flux sortant du lan vers la dmz (et la dmz uniquement !) mais n'autorise aucun traffic de la dmz vers le lan.

Une évolution de ce schéma à 2 bastions est le schéma avec un seul bastion :

Code: Tout sélectionner

internet
|
bastion --- dmz
|
lan

Le "bastion" unique assure les 2 fonctions extérieur/intérieur. Ce qui est forcément moins secure mais objectivement plus économique.

On peut comprendre que cette solution exige un plus grand soin puisque les 2 groupes de règles doivent être écrites pour cette seule machine.

On peut aussi comprendre que coordonner 2 bastions (de type différent) soit tout aussi complexe.

Il est bien évident que l'on ne peut pas mettre 2 bastions entre 2 zones (mais il reste des irréductibles qui ne veulent pas écouter cela ...). C'est comme si on mettait 2 ponts sur une rivière et que l'on prétendait garder aussi bien chaque pont ! (sans compter qu'avec ARP, il y a une trace du "pont" par lequel on est passé !).

Ce dernier point signifie : pas de double connexion entre une dmz et un lan ou entre Internet et une dmz, ...

Cela semble tellement évident mais ...

J'ajoute que ce livre O'Reilly évoque aussi l'idée d'utiliser 2 bastions de type différents : la conclusion est que cela n'apporte aucune sécurité supplémentaire mais plutôt bien plus de risques.

[fabzz007]

Enfin des réponses constructives Merci !

Donc dans mon cas la solution la plus sécurisée selon vous serait :

Code: Tout sélectionner

internet
    |
    |
  IPCOP
    |
    |
   DMZ
    |
    |
   ISA
|     |
|     |
Lan1  Lan2


Vous m'aurez été d'un grand secoure je vais enfin pouvoir fermer l'oeil cette nuit

@++ FabzZ

PS :

J'ajoute que ce livre O'Reilly évoque aussi l'idée d'utiliser 2 bastions de type différents : la conclusion est que cela n'apporte aucune sécurité supplémentaire mais plutôt bien plus de risques.

Je suis étonné car tu dis toi même quelques lignes avant :

Une évolution de ce schéma à 2 bastions est le schéma avec un seul bastion :

Code: Tout sélectionner

internet
|
bastion --- dmz
|
lan

Le "bastion" unique assure les 2 fonctions extérieur/intérieur. Ce qui est forcément moins secure mais objectivement plus économique.

???

Merci encore

[jdh]

Avec un professionnel aguerri, expérimenté, consciencieux et qui se pose des questions (les bonnes !), le schéma à 2 bastions et le schéma à 1 bastion sont équivalents.

Intrinsèquement, la même machine portant les 2 groupes de règles est plus fragile (surtout matériellement). D'ailleurs, si elle est éteinte, il n'y a aucun flux entre zones. (le "forcément" est un peu fort).

La réflexion porte sur le fait qu'avec 2 bastions, il n'y a AUCUNE sécurité supplémentaire apportée : le filtrage est correct ou ne l'est pas, il y a des flux non autorisés qui passent ou pas.

Par contre, le risque est fort que l'expertise d'un individu soit plus forte dans un environnement et moins forte dans un autre environnement. Cela se comprend aisément : il est difficile d'être un expert dans 2 implantations différentes (Linux/Windows, IPCOP/SME, iptables/ISA, ...).

Pour autant que je m'en souvienne, le risque s'accroit surtout quand on mélange 2 types différents. A la manière d'une idée (autrefois répandue) qui voulait qu'on utilise 2 antivirus différents sur des zones différentes. C'est vrai quelques heures qu'il y a une différence puis après l'échange de signature entre fabricants d'antivirus, cela n'est plus le cas.

Ce que résume d'ailleurs joliment jmripert : "1 bon firewall bien configuré vaut mieux que 2 firewalls en mode passoire ...".

Aujourd'hui quelqu'un qui connait bien IPCOP monte vite et bien une solution Red+Orange+Green solide et bien sécurisé grâce à BOT et à une stratégie prudente "je ferme tout et j'ouvre au fur et à mesure". Mais si on laisse un IPCOP de base, c'est à dire Green vers Red ou Orange tout autorisé, on a une passoire ...

[jmripert]

Bravo Jean-Marc !

J'adore ! Encore !

Enfin quelqu'un qui décrit des schémas de zones clairs et parfaitement sécure !

Attention aux généralités, sécure si on reste simple mais fabzz007 me semble parti pour faire de l'alchimie...

On peut aussi comprendre que coordonner 2 bastions (de type différent) soit tout aussi complexe.

A développer à l'occaz mais je trouve bien plus simple de monter 2 firewall avec une configuration basique qu'un seul complexe, pour un non-érudit...

J'ajoute que ce livre O'Reilly évoque aussi l'idée d'utiliser 2 bastions de type différents : la conclusion est que cela n'apporte aucune sécurité supplémentaire mais plutôt bien plus de risques.

Je ne connais pas le livre mais ça me semble ridicule comme propos, les 2 produits ayant leurs propre bugs/failles cela cumule les recherches aux pirates (potentiels) pour rentrer, qui plus est il est "plus" difficile de faire des erreurs sur une configuration simple.

Enfin des réponses constructives Wink Merci !

Disons que tu balances un sujet "complexe" sur lequel tu semble déjà avoir un avis renseigné, les réponses n'étaient peut-être pas construites mais le sujet ne semblait pas devoir des réponses clairvoyante... Perso c'est les dessins qui m'ont mis sur la piste...

Dernière chose, tu pourrai traduire lan1 et lan2, ce sont 2 réseau physiquement et virtuellement différent ?