DMZ et Firawall

[slyattack]

Bonjour à tous, <BR> <BR>Je m'apprete à installer un firewall pour implementer une DMZ dans laquelle <BR>résidera un srv WEB. Sur ce serveur, il y a aussi des document que je ne <BR>souhaite pas voir disponible depuis internet mais uniquement depuis mon <BR>intranet. <BR> Si je ferme tous les ports sauf le 80 depuis le firewall vers ce srv, <BR>mes autres documents sont-ils en lieu sure et sinon, qu'elle sont les <BR>possibilité d'accés pour d'eventuelle user mal intentionné. <BR> <BR>Merci pour votre aide. <BR> <BR>

[Yann]

L'usage d'une DMZ ne te sera pas de grand secours. En effet, le role d'une DMZ est de mettre à disposition sur un Internet un serveur web, ftp, ou email sans pour autant mettre en peril la securité de l'intranet (la zone protégée par le Firewall). A moins de renforcer la securité des fichiers confidentiels présents sur le serveur (et Prier pour que ton serveur n'est pas de faille., <BR>Moralité : Ton serveur Web confidentiel a tout interet à rester derriere ton firewall... <BR> <BR>_________________ <BR>"Ce ne sont que des 0 et des 1" <BR><BR><BR><font size=-2></font>

[slyattack]

MErci pour ta réponse. <BR> <BR>Sais-tu quelle sont les risques si on maintient cette config. En gros que peut-on faire sur une machine où seul l'accés Http est ouvert?? <BR> <IMG SRC="images/smiles/icon_eek.gif">

[micj]

C'est le même risque que de ne pas utiliser un firewall... <BR> <BR>La moindre faille dans ton OS ou dans l'application utilisée comme serveur web et c'est terminé de la confidentialité de tes données. <BR>

[Yann]

Il n'y a pas (et il n'y aura jamais je pense) de solution COMPLETEMENT sécurisé concernant un serveur Web sur Internet. <BR> <BR>Que ce soit Windows, Linux voire MacOS X, il existe (ou existera) toujours une faille. <BR> <BR>Proteger un serveur Web en Interne par un firewall permet de pallier à ce problème...Installer un serveur Web "public" en DMZ aussi...mais nul n'est à l'abri... <BR> <BR>Je ne suis pas pessimiste, juste réaliste... <BR> <BR>

[antolien]

c'est sûr que la sécurité ne pourra pas être <BR>véritablement assurée pour publier un serveur <BR> web perso. <BR> <BR> Mais le mettre en DMZ est déjà une meilleure solution pour protéger ton réseau vert. <BR> <BR>Il existe aussi des produits comme interscan qui scrutent tous les paquets échangés avant de les envoyer vers leur destination (serveur frontal http, ftp, smtp...), <BR> <BR> il ya aussi des sondes IDS qui réduisent encore le risque. <BR> <BR>C'est un peu fataliste ce que vous dites là, car si tout le monde réagissait comme cela, il n'y aurai pas beaucoup de sites internet. <BR> <BR>Un truc vachement important aussi est la SAUVEGARDE regulière avec disaster recovery de ton serveur(d'actualité sur ixus et on n'en parle pas assez sur les sites de sécurité). <BR> <BR>Chaque étape nécessite un investissement mais on a rien sans rien. <BR> <BR>

[Tof]

j'ai installé un serveur (sme) dans la dmz d'un routeur (ipcop) <BR>j'utilise un portail web (xoops) sur ce serveur <BR>pour acceder a ce serveur de l'exterieur, j'utilise un dns dynamique <BR> <BR>mon probleme est que je doit donner un nom d'hote a xoops (pour ses liens) <BR>-si je met le nom d'hote de mon serveur, j'y accede sans probleme du vert mais pas de l'exterieur car les liens ne correspondes plus. <BR>-si je met le nom d'hote du dns dynamique, j'y accede de l'exterieur mais plus du vert <BR> <BR>comment avoir un serveur web accessible a la fois du vert et de l'internet ? <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR><BR><BR><font size=-2></font>

[mac]

mettre le nom du dns dynamique et paramétrer les fichiers host des clients du vert en leur associant le nom dnsdyn avec l'adresse ip du serveur <BR>Je pense que ça fonctionnera

[Tof]

un grand merci, ca marche nickel ! <BR>j'ai simplement renseigné mon dns de la zone vert et hop, ca passe <IMG SRC="images/smiles/icon_razz.gif"> <BR>(mais comment j'y ai pas pensé plus tot <IMG SRC="images/smiles/icon_rolleyes.gif"> ) <BR>

[Xurlak]

Bonjour, <BR>Si j'ai compris tu as des docs "confidentiels" qui sont un futur WEBsite. Sur le principe de DMZ, je pense que les posts ont répondu au systeme de DMZ. Concernant tes docs sensibles, copie les dans un serveur dans ton inside protégé ils seront dispo sur intranet mais pas sur ton website. <BR>Ma réponse me semble si simple que j'ai peur de ne pas avoir compris ton pb !! <BR>Mais il faut limiter au stric minimum les ACL entre DMZ et INSIDE (relais smtp->mailboxes par exemple). SI tu autorises un WEBsite à accéder à ton LAN, il sera simple de rebondir sur le serveur dans la DMZ pour accéder à INSIDE.... <BR>

[knut1er]

just une ptite chose qui je crois n'a pas été mentionnée. La dmz n'a pour vocation d'exister que si les serveurs de ladite zone doivent d'une part publier des services sur l'internet(web, ftp, mail...et ce qu'on veut), et d'autre part doivent causer avec le réseau local (genre réplication de mails, de fichiers, dialogue avec une bdd...) <BR>Si c'est juste pour un site web, tu le mets tout seul derrière l'ip publique et là ton réseau il craint pas grand chose de ce côté. PArcontre, si t'as qu'une @ip publique.... faut ptet faire des frais pour une 2nde. <BR> <BR>Sinon qq'un saurait comment tester la vulnérabilité de son réseau sans se payer les services d'une boîte?

[job]

bonjour <BR>je suis etudiant en informatique ert j'aimerai savoire si qqun peux m'explique le principe et le fonctionnement du DMZ ou lm'indiquer des liens <BR>merci

[carbone]

une DMZ: Demilitarized Zone, c est une zone moins protégée, dans laquelle tu met des services qui doivent être accessibles depuis l extérieur. <BR>Le but d un firewall est de bloquer l acces à ton réseau interne pour toute personne de l extérieur. Cependant cela peut poser des problèmes, tu héberge un site, un serveur mail, ... qui doivent être accessible de l extérieur. Si tu le met dans ton réseau, un hacker pourra grace aux failles, ...accéder à la machine serveur et de la acceder a ton réseau interne. Cela crérait donc un trou de sécurité. Pour combler ce trou et diminuer les risques, on a créé la DMZ une 3eme zone accessible de l extérieur et qui normalement ne peut pas elle accéder a ton réseau interne. <BR>Voila en gros ce qu est une DMZ, cependant, il faut bien savoir que si un hacker veut pénétrer un réseau, il aura toujours moyen d y arriver (si il est doué) mais le firewall peut le gener et lui demander des compétences plus élevée, en tant qu admin systeme, tu peux le ralentir, ... mais il est presque impossible de sécuriser à 100% sauf en coupant les liens avec l extérieur.