serveur web : une patte en DMZ une autre en LAN.

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

serveur web : une patte en DMZ une autre en LAN.

Messagepar xandre75 » 06 Avr 2010 12:26

Bonjour,
Pour des raisons de dépot de fichiers et d'accès à une base de données externe, j'ai un serveur web sous Windows XP (c'est très moche) en LAN qui héberge le site Internet et notre site Intranet.
Ce qui est mal on est d'accord (le projet n'est pas de ma conception).

Pour limiter la casse, je pensais alors lui ajouter une 2e carte réseau qui serait dans la DMZ. Je reconfigure la règle NAT dans ipcop et ainsi les visiteurs accèderaient au site internet dans la DMZ et non plus dans le LAN.

La question est alors :
Est ce bien utile puisque les cartes réseaux sont sur la même machine tournant sous Windows XP ? Est ce mettre un pansement sur une jambe de bois ?
xandre75
Matelot
Matelot
 
Messages: 7
Inscrit le: 16 Mars 2010 17:08

Messagepar Stirner » 06 Avr 2010 13:41

La question est alors :
Est ce bien utile puisque les cartes réseaux sont sur la même machine tournant sous Windows XP ? Est ce mettre un pansement sur une jambe de bois ?


Non
Avatar de l’utilisateur
Stirner
Vice-Amiral
Vice-Amiral
 
Messages: 777
Inscrit le: 06 Jan 2006 07:45
Localisation: Calva...Dos...

Messagepar fleib » 06 Avr 2010 13:49

Pour des raisons de sécurité, il ne faut pas qu'une machine accessible depuis le net soit raccordée physiquement sur le LAN, cela créé une passerelle possible pour une intrusion...

Pourquoi ne pas mettre uniquement la machine en DMZ et les utilisateurs du LAN accèdent à celle ci au travers du parefeu?
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Messagepar xandre75 » 06 Avr 2010 15:18

Me doutais de la réponse. Merci de me confirmer.

@fleib :
parce qu'à l'époque il a été décidé que ce windows xp "serveur intranet" intégré dans un domaine (permet la mise à jour antivirus centralisée et mise a jour Windows via WSUS) allait ensuite servir pour le site internet (apache : serveurs virtuels).
De plus le site intranet a besoin d'accéder a une base de données qui n'accepte que les connexions du pilote ODBC sous windows (c'est la "vraie" raison du pourquoi windows).
Et on doit aussi pouvoir y deposer des fichiers (partage dossier). Ca encore, ca ne devrait pas poser probleme de LAN vers DMZ.
Si je le mets entierement dans la DMZ il me faudra alors créer des pinholes (ipcop) de DMZ vers LAN.
Les créer d'accord mais lesquels ?
Sans compter que les requetes DNS ne sont plus à faire sur les dns du LAN.
Il me faut trouver tous les ports nécessaires pour l'accès à la base, au serveur antivirus, au controleur de domaine (authentification ordinateur et utilisateur), au serveur wsus ...
xandre75
Matelot
Matelot
 
Messages: 7
Inscrit le: 16 Mars 2010 17:08

Messagepar jdh » 06 Avr 2010 15:24

Je confirme ce qu'écrit fleib : ne jamais créer de court-circuit, jamais.

Une machine est dans une zone et surtout pas dans 2 (sauf le firewall).

(Au passage, cette règle induit qu'un serveur de virtualisation ne doit contenir que des VM de la même zone logique.)


La petite difficulté, avec Windows, est juste de trouver tous les ports à autoriser de Orange vers Green ...

Concernant le DNS, on peut ajouter dans c:\windows\system32\drivers\etc\hosts les définitions nécessaires.
Concernant l'antivirus, la configuration peut devenir "install autonome" et non plus "install centralisée".
Concernant Windows Update, il peut être sorti de WSUS.

Mais il restera un nombre important de protocoles SMB/Windows/WINS nécessaires
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar xandre75 » 06 Avr 2010 16:19

Merci à vous de m'avoir répondu.

Va falloir jouer du sniffer type currentport (Nirsoft). J'espère ne pas avoir à jouer avec WireShark pour ca.

Je vais attendre un peu pour afficher l'étiquette [Résolu] au topic. Je vais tacher de retrouver les ports nécessaires et vous les lister avant.
Ca pourra surement etre utile pour d'autres.
xandre75
Matelot
Matelot
 
Messages: 7
Inscrit le: 16 Mars 2010 17:08

Messagepar fleib » 06 Avr 2010 16:19

Finalement, on peut en deduire que la solution la plus sure et la plus simple est d'acheter (une petite config peut suffire) une nouvelle machine pour le serveur web et la mettre en DMZ.

CQFD
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Messagepar ccnet » 06 Avr 2010 17:44

Il y a chez Microsoft (KB US) une documentation assez importante qui explique comment traiter avec les dmz dans le cas d'un domaine unique avec des serveurs situés dans des zones différents.

A noter que le placement d'un serveur Microsoft en dmz situé dans le même AD que les autres serveurs est un réel problème de sécurité compte tenu de la réplication de l'annuaire sur tous les serveurs. Si le serveur MS est partiellement corrompu en dmz avec la possibilité de "dumper" la base SAM, tout le domaine est compromis. Expérience vécue. Le risque est fort. Il reste à espérer que les fichiers déposés peuvent être sérieusement contrôlés.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar xandre75 » 07 Avr 2010 13:27

fleib a écrit:Pour des raisons de sécurité, il ne faut pas qu'une machine accessible depuis le net soit raccordée physiquement sur le LAN, cela créé une passerelle possible pour une intrusion...

Pourquoi ne pas mettre uniquement la machine en DMZ et les utilisateurs du LAN accèdent à celle ci au travers du parefeu?


Ca me fait tilter. Est ce a dire qu'on ne peut utiliser le même switch / commutateur pour connecter les zones LAN, DMZ, et accessoirement Internet /WAN ?

Plus précisément faut-il un commutateur par zone, chaque commutateur étant raccordé par le biais du parefeu (ipcop / pfsense ...) ?
Si oui, pourquoi ?
xandre75
Matelot
Matelot
 
Messages: 7
Inscrit le: 16 Mars 2010 17:08

Messagepar jdh » 07 Avr 2010 14:00

Il semble évident qu'il FAUT un switch (matériel) pour chaque zone.

La raison est tout aussi évidente : les paquets broadcasts sont envoyés sur n'importe quel port c'est à dire sur n'importe quelle zone s'il n'y a qu'un switch : le premier PC compromis verra alors presque tout passer !

Et ne me dites pas VLAN ! Pour votre info, il n'est pas si compliqué de passer au travers de VLAN !

Un switch 10/100 non administré à 5 ports et à 15€ doit largement suffire pour la DMZ par exemple !


Que dit Christian CALECA de ce sujet ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar fleib » 07 Avr 2010 14:09

Pour abonder dans le sens de jdh, je même que la segmentation et l'isolement physique des flux est un des principes de base de la sécurité réseau.
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Messagepar ccnet » 07 Avr 2010 14:39

Je signe aussi. Le cloisonnement des flux est critique.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar xandre75 » 07 Avr 2010 14:50

Merci pour vos réponses.
J'ai pris note et ai mis en pratique à l'heure qu'il est. J'avais effectivement 2 switches 100mbs "à 15€".
De par cette réorganisation, il me semble même que l'accès web me semble, pas plus rapide mais, plus réactif.
xandre75
Matelot
Matelot
 
Messages: 7
Inscrit le: 16 Mars 2010 17:08


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité