[Résolu] Avis pour architecture/config réseau personnel

[eagle2000]

Bonjour à tous,

Je fais appel à vous car je suis un peu perdu...
Je suis en train de monter un petit réseau domestique mais plus "sécurisé" qu'avant car mon FTP a très récemment fait l'objet d'une attaque provenant de Chine !!! (pas de données perdues (j'avais des alertes qui m'ont permis de tout couper avant) mais une sacrée frayeur ).

Du coup, je suis en train de réétudier l'architecture de mon réseau et y insérant cette fois un firewall "dédié" : pfSense.
Et c'est là mon problème (ou mes problèmes plus exactement).

1- J'ai une box (Free pour ne rien cacher) qui avant faisait modem/routeur.
J'avais configuré la redirection de ports directement dessus vers le serveur Web/BDD/FTP (donc sans parefeu).

Aujourd'hui, voilà à quoi ça va ressembler :

Internet
|
|
Freebox
|
|
pfSense
|
|------------ DMZ (serveur Web/BDD/FTP)
|
|
LAN

Ma question est la suivante : dois-je laisser la Freebox en NAT, avec une IP interne pour pfSense ? ou bien est-ce que je laisse la Freebox en simple modem et pfSense directement dessus (donc avec IP publique du coup) ?

2- Dans le cas où la solution la plus adaptée serait de laisser la Freebox en NAT, comment dois-je faire pour que de l'extérieur, on accède à mon serveur Web/BDD/FTP ?
Dois-je faire une redirection de ports sur la Freebox (80, 20 et 21) vers pfSense et des règles dans pfSense vers le serveur concerné pour les ports redirigés ? (donc 2 redirections en fait)

3- Jusqu'à présent le serveur Web/BDD/FTP était sur la même machine (ben oui, je ne suis pas Rotschild et je n'ai pas d'action chez EDF ! ), et avec la même IP.
Et j'utilisais VMWare uniquement à titre de test sur ma station perso.

Mais vu que je vais mettre en place une DMZ, je préfèrerais autant que possible ne pas y exposer mes données (c'est le but non ? ).
Donc je ne vais malheureusement pas pouvoir investir dans de nouvelles machines, mais je vais installer VMWare sur le serveur en question de manière à faire des serveurs "dédiés" comme suit :

- serveur physique (stockage de données du LAN (fichiers de travail, photos, musique, vidéos)) : Windows Server 2003

- un serveur virtuel Web "dédié" -> en DMZ : sûrement une Fedora avec Apache

- un serveur virtuel de BDD "dédié" -> je souhaiterais le laisser dans le LAN (plus logique niveau sécurité), à moins que je ne l'installe directement sur le serveur physique (vu qu'il est dans le LAN), donc gain de ressources car 1 serveur de moins à gérer.

- et mon nouveau problème concerne le FTP.
En effet, le plus logique voudrait qu'il soit dans la DMZ... mais comme je vous l'ai dit, je ne souhaite pas que mes données se retrouvent sur un serveur dans la DMZ mais restent sur le LAN.
Du coup, là, ça me pose un souci car je ne crois pas que je puisse indiqué au FTP (Filezilla Server) un répertoire autre que local...

Qu'en pensez-vous suis-je dans le bon ?
Que feriez-vous à ma place ?

Merci d'avance à ceux qui auront pris le temps de me lire et de critiquer ou confirmer mes solutions.
Je suis preneur de tout avis.
Les seuls impératifs :
Je dispose d'1 seul serveur physique (sous Windows 2003) et d'une machine dédiée pour pfSense (PII 800MHz avec 3 cartes réseau).
Je suis plus connaisseurs de Windows que de Linux...

[arno83]

Salut,

Ma question est la suivante : dois-je laisser la Freebox en NAT, avec une IP interne pour pfSense ? ou bien est-ce que je laisse la Freebox en simple modem et pfSense directement dessus (donc avec IP publique du coup) ?

Moi je pense que le double NAT est inutile. ça rend un peu pénible l'administration pour finalement pas plus de sécurité... (du moins je pense). Cela dit c'est tout à fait possible a faire -> la freebox redirige tous vers le firewall et le firewall redirige ensuite vers les serveurs.

Pour tes données, je ne pense pas que ce soit un problème de les stocker sur le réseau local. Tu peux très bien définir une règle sur le firewall qui autorisent l'acces à ta dmz vers le réseau local qu'à partir de l'adresse IP du serveur ftp. Donc lorsque ton serveur ftp tentera d'accéder à ton réseau local, ton firewall devrait le laisser passer. C'est vrai que ça introduit une faille éventuelle... mais bon, j'espère que tu auras l'avis de personnes plus expertes que moi, car j'ai une problématique assez similaire à la tienne et je comptais me débrouiller comme cela.

Bon courage
Arnaud

[eagle2000]

Salut Arnaud,

Merci pour ta réponse.

Moi je pense que le double NAT est inutile. ça rend un peu pénible l'administration pour finalement pas plus de sécurité... (du moins je pense). Cela dit c'est tout à fait possible a faire -> la freebox redirige tous vers le firewall et le firewall redirige ensuite vers les serveurs.

C'est vrai qu'en y réfléchissant un peu cet après-midi, il vaut peut être mieux mettre le firewall direct sur l'extérieur (donc Freebox en mode modem seul).
Toutefois, peut-être un avantage du double NAT, c'est que si un jour le firewall vient à avoir un problème, on peut se connecter à la Freebox direct avec une IP non routable... contrairement au mode modem seul... mais je n'ai vu nulle part que pfSense ait déjà laché quelqu'un...

C'est vrai que ça introduit une faille éventuelle... mais bon, j'espère que tu auras l'avis de personnes plus expertes que moi

Comme de toute façon ça n'urge pas à la journée près, je vais attendre pour voir si quelqu'un d'autre confirme ta solution ou en trouve une autre.

Merci encore.
P.S. : pour le courage, ça va... je n'en manque jamais (surtout quand on touche à mes petites affaires ).

[ccnet]

Ma question est la suivante : dois-je laisser la Freebox en NAT, avec une IP interne pour pfSense ? ou bien est-ce que je laisse la Freebox en simple modem et pfSense directement dessus (donc avec IP publique du coup) ?

Freebox en simple modem et ip publique sur la pate publique du firewall. Le nat des box n'aporte que des complications et aucun bénéfice.

mais comme je vous l'ai dit, je ne souhaite pas que mes données se retrouvent sur un serveur dans la DMZ mais restent sur le LAN.

Si les données du ftp doivent être accédées de l'extérieur, alors sans hésiter je met le ftp en dmz. Règle qui ne souffre pas de dérogation pour moi : accès externe possible ->machine dans la dmz.

pas pouvoir investir dans de nouvelles machines

Au prix des serveurs pIII sur Ebay ? Vu la charge d'un réseau personnel, vous n'avez pas besoin de plus.

Je dispose d'1 seul serveur physique (sous Windows 2003)

Alors il vous faut accepter des compromis de sécurité.

Pour moi les règles de sécurité sont simples :
le firewall est une machine physique dédiés.
si vmware alors toutes les vm sont dans la même zone.
si une machine est accessible de l'extérieur alors elle est en dmz.

Ensuite ce n'est plus tout à fait de la sécurité, mais du compromis voire de la compromission virtuelle.

[eagle2000]

Merci ccnet.

Freebox en simple modem et ip publique sur la pate publique du firewall.

Je vais donc faire comme ça pour le FW.
(Et mon FW est bien une machine dédiée).

mais comme je vous l'ai dit, je ne souhaite pas que mes données se retrouvent sur un serveur dans la DMZ mais restent sur le LAN.

Si les données du ftp doivent être accédées de l'extérieur, alors sans hésiter je met le ftp en dmz. Règle qui ne souffre pas de dérogation pour moi : accès externe possible ->machine dans la dmz.

N'y-a-t-il pas moyen de faire comme arno83 le suggérait précédemment pour le FTP... je m'explique : monter le serveur FTP (le démon) en DMZ et faire une règle sur le FW qui n'autorise que l'IP du FTP à accéder aux données sur le serveur de stockage du LAN... ? (ça n'est peut être pas très logique ?!?, mais c'est pour éviter d'exposer mes données directement en DMZ et donc d'en avoir un morceaux en LAN et un autre en DMZ...)

Pour moi les règles de sécurité sont simples :
le firewall est une machine physique dédiés.

C'est OK : machine dédiée.

si vmware alors toutes les vm sont dans la même zone.

Ce sera aussi le cas : serveur web et ftp (le BDD restant dans le LAN car accessible uniquement du serveur web).

Merci encore de tes remarques et de ton aide.

[ccnet]

N'y-a-t-il pas moyen de faire comme arno83 le suggérait précédemment pour le FTP... je m'explique : monter le serveur FTP (le démon) en DMZ et faire une règle sur le FW qui n'autorise que l'IP du FTP à accéder aux données sur le serveur de stockage du LAN... ? (ça n'est peut être pas très logique ?!?, mais c'est pour éviter d'exposer mes données directement en DMZ et donc d'en avoir un morceaux en LAN et un autre en DMZ...)

Dans ce cas je ferai le contraire. Je m'explique. Ne recopier que les données utiles depuis l'extérieur sur le serveur ftp ok. Mais je construirai quelque chose pour envoyer les données du lan vers la dmz plutôt que d'autoriser une machine de la dmz à pénétrer dans le lan. Le résultat fonctionnel est identique, la sécurité meilleure c'est à dire : personne ne se connecte dans le lan depuis l'extérieur, même depuis la dmz. Vous avez été échaudé donc je fais des suggestions qui vont dans le sens de la sécurité. Maintenant on peut toujours transiger, donc augmenter le risque.

[jibe]

Salut,

Je comprends mal le problème FTP en DMZ et exposition des données ?

Pour moi, les données doivent obligatoirement être dans le LAN (sinon, autant supprimer tout firewall ), et le FTP ne doit avoir accès qu'à la DMZ. Les données à partager par FTP sont "uploadées" du LAN vers la DMZ. Bien sûr, une copie est conservée dans le LAN.

Comme on le ferait si le serveur FTP était chez son FAI ou autre hébergeur...

Ton site web, tu le mets sur le serveur, accessible à tous, sans en conserver une copie ailleurs ? Non ? Alors, le FTP, c'est pareil !

[eagle2000]

Bonsoir à vous.

Je comprends mal le problème FTP en DMZ et exposition des données ?

Pour moi, les données doivent obligatoirement être dans le LAN, et le FTP ne doit avoir accès qu'à la DMZ. Les données à partager par FTP sont "uploadées" du LAN vers la DMZ. Bien sûr, une copie est conservée dans le LAN.

Comme on le ferait si le serveur FTP était chez son FAI ou autre hébergeur...

L'avantage que je vois dans ce système, c'est que justement, contrairement à mon FAI qui n'est pas sur place, moi toutes mes données seront sur place, et en plus grosse quantité que je ne peux en mettre chez mon FAI (centaines de Go contrairement à une dizaine actuellement chez mon FAI), et ça m'éviterait justement de les dupliquer, car le problème n'est pas le fait de les dupliquer, mais bel et bien de stocker les duplicatas...
En revanche, il est vrai que vu du niveau sécurité... et comme me l'a rappellé ccnet, j'ai déjà été échaudé... donc ça vaut peut-être le coup de les dupliquer du moins par morceau.

Ton site web, tu le mets sur le serveur, accessible à tous, sans en conserver une copie ailleurs ? Non ? Alors, le FTP, c'est pareil !

Si, si, je te rassure... je fais bien une sauvegarde de mon site web ainsi que de sa BDD... mais comme je te le disais un peu avant, là ou mon site web fait quelques centaines de Mo, mes données occupent, elles, quelques centaines de Go... et le fait de dupliquer les données stockées chez le FAI explique en partie la potentielle non fiabilité ou défaillance du FAI (non pas que ce ne soit pas le cas chez moi, mais serveur quand même moins sollicité, donc dans la théorie moins soumis à risque de panne matérielle du moins).

Je vais essayer déjà comme vous me dites, en dupliquant une partie de mes données et en faisant tourner les données "exposées".
Si je vois que ce n'est pas top... et ben je "bidouillerai" un peu au détriment de la sécurité... mais ce sera toujours plus sécurisé qu'avant où je n'avais aucun parefeu et une exposition directe (d'où ma petite frayeur récente ).

[ccnet]

Il y a une autre équation que j'ai du mal à comprendre : réseau personnel + des centaines de gigas de données + accès par ftp sur le net ...

[eagle2000]

Il y a une autre équation que j'ai du mal à comprendre : réseau personnel + des centaines de gigas de données + accès par ftp sur le net ...

Oui, c'est vrai que ce n'est pas clair et que du coup, "l'équation" ne se résoud pas
Mais rassures-toi, je ne fais pas partie de ces personnes qui proposent des centaines voire milliers de fichiers illégaux , et chez moi, effectivement réseau personnel + des centaines de gigas de données + accès par ftp sur le net <> 1

De plus, centaines de Go et FTP ne veux pas dire que toutes sont forcément concernées par le FTP : j'en ai aussi des vraiment personnelles.
Mais ce sont par exemple, des photographies de réunions de familles et surtout de nombreux films familiaux (que j'ai récupérés de Super 8 ou VHS) que mes proches (un peu aux 4 coins de la France) souhaitent récupérer. Or, des films de 1 à 2 heures montés, encodés et prêts pour être gravé par exemple... ça fait son poids.

Et pour en revenir à ma toute première problèmatique, ce sont ces types de fichiers que je souhaiterais mettre à disposition sur mon FTP sans pour autant les dupliquer sur la DMZ...

Voilà, j'espère que c'est un peu plus clair...

[ccnet]

Ok, sinon même point de vue que Jibe. FTP = publication = dmz.

[eagle2000]

OK.
Merci pour votre aide.

Je vais donc faire déjà le principal (firewall avec IP publique sur patte WAN, et serveur web sur DMZ).
Pour ce qui est du FTP, et bien je vais voir à peut être carrément dédier une machine "physique" pour ce dernier avec grosse capacité de stockage pour la mettre complétement en DMZ suivant vos conseils.

Si j'ai d'autres idées ou problèmes... je vous ferai signe
Merci encore.

[jibe]

Salut,

Si ce n'avait déjà été fait, j'aurais bien posé la même question que ccnet : pourquoi des centaines de Go de données dispo par FTP sur un serveur perso ?

Puisque la question a été posée et la réponse donnée, je pousse un peu plus loin : Ok. Photos et videos, ça prend effectivement de la place. Mais est-ce bien utile et raisonnable que toutes soient accessibles à tout instant ? Perso, je les mettrais dispo pendant un certain temps, puis les supprimerais en ayant bien sûr prévenu les intéressés au départ. Je pense que les gens concernés peuvent comprendre que tu ne peux pas tout stocker pour eux. Sinon, demande-leur de te payer des disques de haute capacité

[eagle2000]

Bonsoir Jibe,

Il est clair que (malheureusement) je n'ai pas moyen de conserver "à demeure" toutes ces vidéos et photos.
De fait, effectivement et à défaut, la solution va consister à faire tourner...
Le coup de se faire payer des DD... je n'y avais pas pensé (c'est vrai qu'on demande rarement ça à la famille... ), mais après tout... c'est pour eux et c'est clair que chez moi... ça va me réclamer des ressources qui du coup pourraient me faire défaut ! Donc merci pour l'idée...

Autrement dans un futur plus ou moins proche, je pense que je vais essayer un encodage type FLV et insérer ces vidéos sur un site web réservé à la famille... moins captivant qu'un DVD dans le salon, mais gain de place et tout aussi efficace !

Merci encore.

[jibe]

De fait, effectivement et à défaut, la solution va consister à faire tourner...

Pourquoi "à défaut" ? Une fois qu'ils ont récupéré la vidéo et qu'ils se la sont gravé, elle n'a plus besoin de rester dans ton serveur FTP !

La "solution" de leur faire payer tes disques, c'était pour leur faire comprendre que ce n'est quand même pas à toi à prendre des dispositions pour qu'ils puissent graver un nouveau DVD quelques années après, en le téléchargeant directement, si le premier a été cassé...