Bonjour,
Tous est dans le sujet : quel serait la gravité de mettre le serveur web sous green plutot que sous orange ?
Merci !
Gravité du serveur web en green
Modérateur: modos Ixus
14 messages
• Page 1 sur 1
Gravité du serveur web en green
par matt59 » 28 Mai 2007 18:47
- matt59
- Premier-Maître
- Messages: 49
- Inscrit le: 01 Sep 2006 15:35
par ccnet » 28 Mai 2007 19:16
Vous voulez sans doute parler de risque. Autoriser des connexions de l'extérieur directement sur le réseau interne (même si ce n'est que vers une machine pour un port défini) n'est pas très sain. Quelles raisons vous poussent à envisager ce type de solution ? Sinon j'imagine que vous ne poseriez pas la question.
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par Titofe » 28 Mai 2007 20:33
Je vais supposer que ta question concerne la sécurité.
Si aucun accès de l’extérieure est faite sur Green pour le Serveur qui si trouve, donc aucun accès Web, SMTP ou autre, il n’y a donc aucun souci à ce qu’il ce retrouve là pour des applications interne.
Maintenant si tu à besoin que de l’extérieure on accède à ton Serveur il vaut mieux le mettre dans la DMZ (Zone Orange) pour ne pas créer un trou de sécurité dans Green.
Je pense que tu pose cette question par rapport au problème que tu rencontre là, si c’est ça ta motivation pour mettre ton Serveur sur Green je pense que tu devrais plutôt régler ton souci.
Si aucun accès de l’extérieure est faite sur Green pour le Serveur qui si trouve, donc aucun accès Web, SMTP ou autre, il n’y a donc aucun souci à ce qu’il ce retrouve là pour des applications interne.
Maintenant si tu à besoin que de l’extérieure on accède à ton Serveur il vaut mieux le mettre dans la DMZ (Zone Orange) pour ne pas créer un trou de sécurité dans Green.
Je pense que tu pose cette question par rapport au problème que tu rencontre là, si c’est ça ta motivation pour mettre ton Serveur sur Green je pense que tu devrais plutôt régler ton souci.
-
Titofe - Vice-Amiral
- Messages: 599
- Inscrit le: 13 Sep 2006 17:02
par jdh » 28 Mai 2007 21:51
Voilà, en effet, une mauvaise façon de contourner des problèmes AMHA !
* J'imagine un serveur web sur base IIS (Windows).
* Ce serveur Web doit être public donc on le place en Orange.
* Or l'accès de Green vers Orange ne permet pas \\192.168.x.x (pour accéder au site web comme un partage de fichier standard Windows).
* Donc dois-je mettre le serveur en Green ?
La première chose à comprendre : un firewall n'est qu'un élément DE BASE de sécurité. Son rôle n'est qu'un rôle de filtrage, assez élémentaire, du trafic entre zones. De plus, les firewall standard
La deuxième chose à comprendre : la zone Orange rassemble normalement les machines pouvant communiquer avec Internet (dans un sens ou l'autre) par opposition à la zone Green. (D'où le réglage par défaut que je trouve mauvais dans IPCOP Green a accès à Internet).
Le vrai problème c'est l'accès par \\192. : Windows exige tant de chose qu'il est très difficile de bien écrire les règles d'accès. Il suffirait de simplifier cet accès grâce à webdav qui limiterait le trafic à un limpide tcp/80, ou au pire un (léger) ftp.
* J'imagine un serveur web sur base IIS (Windows).
* Ce serveur Web doit être public donc on le place en Orange.
* Or l'accès de Green vers Orange ne permet pas \\192.168.x.x (pour accéder au site web comme un partage de fichier standard Windows).
* Donc dois-je mettre le serveur en Green ?
La première chose à comprendre : un firewall n'est qu'un élément DE BASE de sécurité. Son rôle n'est qu'un rôle de filtrage, assez élémentaire, du trafic entre zones. De plus, les firewall standard
La deuxième chose à comprendre : la zone Orange rassemble normalement les machines pouvant communiquer avec Internet (dans un sens ou l'autre) par opposition à la zone Green. (D'où le réglage par défaut que je trouve mauvais dans IPCOP Green a accès à Internet).
Le vrai problème c'est l'accès par \\192. : Windows exige tant de chose qu'il est très difficile de bien écrire les règles d'accès. Il suffirait de simplifier cet accès grâce à webdav qui limiterait le trafic à un limpide tcp/80, ou au pire un (léger) ftp.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par matt59 » 28 Mai 2007 23:08
merci de vos réponses...
effectivement ma question est motivé par une partie du problème de l'autre topic...
en fait je rencontre deux problème :
- accès à orange depuis green via \\192.168.x.x
- impossible de pingé les serveurs smtp du FAI depuis le reseau orange (mes dns sont ok) (donc impossible d'utilisé mes composants d'envoi de mail dans mes sites web)
le fait de mettre les deux serveurs dans green corrige ces deux problèmes...
pourriez vous justement à m'aider à régler ces deux ptis soucis afin de ne pas troué la sécurité de mon green...
merci !
effectivement ma question est motivé par une partie du problème de l'autre topic...
en fait je rencontre deux problème :
- accès à orange depuis green via \\192.168.x.x
- impossible de pingé les serveurs smtp du FAI depuis le reseau orange (mes dns sont ok) (donc impossible d'utilisé mes composants d'envoi de mail dans mes sites web)
le fait de mettre les deux serveurs dans green corrige ces deux problèmes...
pourriez vous justement à m'aider à régler ces deux ptis soucis afin de ne pas troué la sécurité de mon green...
merci !
- matt59
- Premier-Maître
- Messages: 49
- Inscrit le: 01 Sep 2006 15:35
par Muzo » 30 Mai 2007 10:51
Ben déjà le terme
mais bon peut-être suis-je paranoïaque?
est une faille de sécurité en elle même. C'est le truc basique testé par un intrus (test de rdesktop, forward X, vnc, ..., ce sont des ports bien connus).(pour prise de mains bureau à distance)
mais bon peut-être suis-je paranoïaque?
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
-
Muzo - Amiral
- Messages: 5236
- Inscrit le: 07 Mai 2003 00:00
- Localisation: BNF! Je me culturise.
par matt59 » 30 Mai 2007 10:55
je sais bien, en même temps je n'est pas le choix et j'ai des obligations... le client doit pouvoir intervenir sur ses pcs clients disposé sur green...
bien entendu je n'utilise pas les ports par défaut et j'ai modifié ceux ci !!
une autre solution ?
bien entendu je n'utilise pas les ports par défaut et j'ai modifié ceux ci !!
une autre solution ?
- matt59
- Premier-Maître
- Messages: 49
- Inscrit le: 01 Sep 2006 15:35
par hell-tys » 05 Juin 2007 14:28
une personne reliée au téléphone devant le pc... 
Non plus sérieusement, je me pose +/- la même question...
J'utilise Ipcop chez moi, et j'ai pas envie de mettre mon pc perso en DMZ.
Pour accéder à mes fichier... bah serveur ftp avec redirection sur le green
Pour prendre le contrôle... bah serveur vnc avec redirection sur le green
et bien entendu, mon ftp n'est pas sur le 21 et mon vnc n'est pas sur le 5900...
Au taf, c'est sûr, mes serveurs sont en DMZ et les postes client sur Green...
...
Bah à quoi sert une redirection de ton ip rouge vers une ip fixe de ton green sur un port donné...
Ca donne accès à tout tes pc ?
Bref... la paranoïa c'est pas mon truc.
Non plus sérieusement, je me pose +/- la même question...
J'utilise Ipcop chez moi, et j'ai pas envie de mettre mon pc perso en DMZ.
Pour accéder à mes fichier... bah serveur ftp avec redirection sur le green
Pour prendre le contrôle... bah serveur vnc avec redirection sur le green
et bien entendu, mon ftp n'est pas sur le 21 et mon vnc n'est pas sur le 5900...
Au taf, c'est sûr, mes serveurs sont en DMZ et les postes client sur Green...
Titofe a écrit:Maintenant si tu à besoin que de l’extérieure on accède à ton Serveur il vaut mieux le mettre dans la DMZ (Zone Orange) pour ne pas créer un trou de sécurité dans Green.
...
Bah à quoi sert une redirection de ton ip rouge vers une ip fixe de ton green sur un port donné...
Ca donne accès à tout tes pc ?
Bref... la paranoïa c'est pas mon truc.
IpCop und e-Smith
- hell-tys
- Premier-Maître
- Messages: 50
- Inscrit le: 25 Avr 2006 14:07
par clementcadbury » 05 Juin 2007 15:42
Le probleme de sécurité ne se pose pas tant pour le serveur que pour le réseau interne.
Le serveur, qu'il soit en orange ou en green sera accessible de l'exterieur, donc potentiellement vulnérable.
Mais c'est la sécurité du réseau interne qui est en jeu.
Un serveur compromis dans la zone orange n'affecte pas grand chose.
Un serveur compromis en zone green a potentiellement acces a tout le réseau interne, les données sensibles etc.
C'est pour cette raison que la DMZ (orange) sert de "tampon".
Dans tous les cas, la question a se poser, c'est "qu'est ce que mon réseau interne risque?".
Si c'est chez toi, que tu allumes ton pc de temps en temps, ou meme si il reste allumé, mais que tu le maitrise, c'est a dire que tu fais les updates etc, les risques ne sont pas énormes si tu mets un serveur en green.
Le serveur, qu'il soit en orange ou en green sera accessible de l'exterieur, donc potentiellement vulnérable.
Mais c'est la sécurité du réseau interne qui est en jeu.
Un serveur compromis dans la zone orange n'affecte pas grand chose.
Un serveur compromis en zone green a potentiellement acces a tout le réseau interne, les données sensibles etc.
C'est pour cette raison que la DMZ (orange) sert de "tampon".
Dans tous les cas, la question a se poser, c'est "qu'est ce que mon réseau interne risque?".
Si c'est chez toi, que tu allumes ton pc de temps en temps, ou meme si il reste allumé, mais que tu le maitrise, c'est a dire que tu fais les updates etc, les risques ne sont pas énormes si tu mets un serveur en green.
- clementcadbury
- Quartier Maître
- Messages: 11
- Inscrit le: 05 Juin 2007 12:19
par Dfalm » 13 Juin 2007 11:27
Je reviens à la question d'origine (et en effet détourner un problème RED-GREEN-ORANGE n'est pas élégant 
Le problème sur green c'est que c'est un réseau de confiance et il peut TOUT FAIRE.
TOUT ca veut dire "n'importe quoi inclu"
Sur une DMZ ( Demilitarized Zone je le rapelle pas inutilement ) est un endroit qui n'est NI Militaire ( en revenant au sens historique d'ARPANET ) NI "civil".
C'est une zone de cohabitation !
Donc étant donné que tu es du côté des gentils tu veux pouvoir TOUT faire sur ton réseau,
et tu veux offrir des services "aux méchants" (ceux derriere RED) sans qu'ils fassent n'importe quoi !
( n'importe quoi = casser tes machines / les compromettre )
Donc "par principe" il ne faut pas le faire, car suivant ton 'raisonement" :
'j'y arrive pas je contourne le problème', tu peux légitiment te poser la question de la fiabilité de tes serveurs (qui seraient sur Orange).
As tu appliqué la même méthodologie de mise en service sur ces serveurs ? que ta méthode "à l'arrache.com, je contoure mon probleme.org ? )
Si oui, tes serveurs ne sont pas fiables tu ouvres toi même les breffes que tu essaies de faire croire fermé par IPcop.
Si non, alors tu vas te pencher sur la résolution du problème RED-GREEN-ORANGE et faire en sorte que ca marche
Donc comme tu le lis ma réponse n'est pas "technique" mais "philosophique".
Et la façon dont tu abordes et va résoudre le problème ne dépend que de toi !
( je vais rebondir sur ton post - ou l'autre - pour répondre plus techniquement et soulever un problème qui m'interesse et pourrait être utile dans la rélfexion )
Le problème sur green c'est que c'est un réseau de confiance et il peut TOUT FAIRE.
TOUT ca veut dire "n'importe quoi inclu"
Sur une DMZ ( Demilitarized Zone je le rapelle pas inutilement ) est un endroit qui n'est NI Militaire ( en revenant au sens historique d'ARPANET ) NI "civil".
C'est une zone de cohabitation !
Donc étant donné que tu es du côté des gentils tu veux pouvoir TOUT faire sur ton réseau,
et tu veux offrir des services "aux méchants" (ceux derriere RED) sans qu'ils fassent n'importe quoi !
( n'importe quoi = casser tes machines / les compromettre )
Donc "par principe" il ne faut pas le faire, car suivant ton 'raisonement" :
'j'y arrive pas je contourne le problème', tu peux légitiment te poser la question de la fiabilité de tes serveurs (qui seraient sur Orange).
As tu appliqué la même méthodologie de mise en service sur ces serveurs ? que ta méthode "à l'arrache.com, je contoure mon probleme.org ? )
Si oui, tes serveurs ne sont pas fiables tu ouvres toi même les breffes que tu essaies de faire croire fermé par IPcop.
Si non, alors tu vas te pencher sur la résolution du problème RED-GREEN-ORANGE et faire en sorte que ca marche
Donc comme tu le lis ma réponse n'est pas "technique" mais "philosophique".
Et la façon dont tu abordes et va résoudre le problème ne dépend que de toi !
( je vais rebondir sur ton post - ou l'autre - pour répondre plus techniquement et soulever un problème qui m'interesse et pourrait être utile dans la rélfexion )
- Dfalm
- Second Maître
- Messages: 26
- Inscrit le: 07 Juin 2007 14:18
- Localisation: Rambouillet A ra178-1
14 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité