Serveur WEB/FTP en frontal sur orange, données sur green

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Serveur WEB/FTP en frontal sur orange, données sur green

Messagepar arno83 » 03 Juin 2009 23:28

Bonjour à tous,

Voici ma problématique :

J'héberge un serveur web/ftp qui est placé en DMZ sur orange. J'aimerais savoir s'il était possible de placer en DMZ seulement des frontaux qui ne recevraient donc que les requêtes http, mais les données (pages html en l'occurence) serait sur un serveur sur le lan green...

Le but principal est donc de sortir de la DMZ les données +ou- sensibles (pages html) mais aussi pouvoir gérer les utilisateurs FTP par Active Directory présent sur mon lan GREEN. Comment feriez vous dans ce genre de situation ??


RED
|
|
ipcop ----- FRONTAUX WEB/FTP
|
|
|
compte FTP/pages html
Active directory


Merci d'avance
Arnaud
arno83
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 07 Juil 2005 15:41

Messagepar ccnet » 04 Juin 2009 00:09

Je ferai presque comme vous le suggérez. Le problème c'est le "presque". Et c'est là que nous touchons aux limites d'ipcop. Votre idée correspond souvent sur le principe, presque, à l'architecture utilisée.

Pourquoi presque ?

Deux raisons me dissuade de mettre les données accéder de l'extérieur dans le réseau local interne.

1. Les risques sont, en gros aussi important avec les utilisateurs externes, qu'internes. Il faut protéger les données aussi vis à vis de l'intérieur.

2. Même indirectement les données sont accédés depuis l'extérieur et l'on ne peut exclure totalement la compromission d'un des frontaux. Ce serait suicidaire à mon avis. Si le risque se réalisait tout votre réseau interne serait compromis. Le risque est trop grand.

Une solution.
La solution à ce problème nécessite deux dmz. Appelons les interne et externe, on dit aussi parfois publique et privée, peu importe les noms. Or ipcop ne sait pas faire cela, du moins pas comme il est souhaitable de le faire. Ce type de solution requiert souvent l'usage de vlans pour augmenter le cloisonnement afin de limiter les risques d'intrusions en profondeur, notamment par rebond. Ipcop ne permet pas de faire tout cela. A titre d'exemple c'est pour des raisons de ce type que, récemment j'ai pu découvrir tout le réseau interne, sensé être invisible, en adressage privé, d'un site web. A la base un petit oubli dans un paramétrage. Je vous rassure, c'était le but de la mission que d'évaluer la résistance potentielle de l'architecture.

Il y a d'autres problèmes mais, dans un premier temps, celui de l'architecture est central.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar arno83 » 04 Juin 2009 10:03

Bonjour,

Merci ccnet pour votre réponse.

Au final, en y réfléchissant bien, ce n'était pas tant une question d'accroitre la sécurité qui m'intéressais, mais plus le fait de pouvoir mutualiser le stockage des données et donc faciliter l'automatisation des sauvegardes par exemple, ou comme je le disais, centraliser également la gestion des droits utilisateurs avec un AD qui est sur mon lan interne...

Si IPCOP ne permet pas de le faire, tant pis, je m'en passerai, il me rend quand même bcp de services !!

Merci encore
arno
arno83
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 07 Juil 2005 15:41


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité