Ajout d'un serveur distant par VPN dans DMZ

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Ajout d'un serveur distant par VPN dans DMZ

Messagepar maljam » 30 Jan 2008 15:16

Je dispose d'un serveur de test avec VMWARE accessible par une adresse publique mais qui n'est pas situé dans la DMZ.
Mon but serait de pouvoir relancer une image d'un serveur défectueux de la DMZ sur une machine virtuelle en le rendant accessible dans la DMZ sans intervenir physiquement sur les branchements (la machine est délocalisée)
Ma solution envisagée est d'établir un VPN apd de la machine virtuelle jusqu'à la DMZ et ainsi intégrer cette machine par un tunnel IPSEC à travers le firewall.
Mais je ne sais pas par quel bout m'y prendre...
maljam
Matelot
Matelot
 
Messages: 4
Inscrit le: 30 Jan 2008 15:09

Messagepar jdh » 30 Jan 2008 15:25

Bonjour.


Un petit schéma et tout serait simple à comprendre ...

J'ai un peu de mal ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar maljam » 30 Jan 2008 18:26

Image

En gros, je voudrais intégrer "logiquement", par un tunnel vpn, une machine virtuelle du serveur test dans la dmz
maljam
Matelot
Matelot
 
Messages: 4
Inscrit le: 30 Jan 2008 15:09

Messagepar jdh » 30 Jan 2008 19:25

Bonjour.


Un vpn est un tunnel entre 2 réseaux "distincts" : il est donc impossible à un IPCOP de considérer, comme faisant parti d'un réseau (ici Orange=DMZ), une machine située dans un autre réseau.

Si dans cette DMZ, il y avait un routeur nattant avec une patte lié à la machine vmware, celui ci apparaitrait, vu de l'ipcop comme parti de la DMZ


IPCOP ------(zone Orange)-------rtr NAT-----vmware

dans le sens vmware -> rtr NAT -> IPCOP, il serait bien vu comme Orange.

Or il est extrêment insecure de placer un câble "en travers" du beau dessin !


Seule possibilité : que le vmware dispose de 2 cartes réseaux dont l'une est dans le réseau Orange.

Mais peu de monde accorde un brevet de sécurité à un serveur vmware !

AMHA, on doit utiliser vmware, soit comme N serveurs de la même zone, soit UNIQUEMENT A TITRE DE TEST en "multi-zones". Ni plus ni moins.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar maljam » 31 Jan 2008 11:13

Sachant que

- le serveur vmware dispose de deux cartes réseau dont une est utilisée par un réseau de maintenance (totalement indépendant)
- je n'ai aucun moyen de relier physiquement le serveur à la DMZ sans passer pas le firewall
- bien que faisant partie du même range d'adresses publiques, certaines VM devront avoir une interface "logique" dans la DMZ et d'autres sur le backbone
- que les VM qui seront actives dans la DMZ ne le seront qu'à titre de test ou de manière ponctuelle et très limitée dans le temps pour la reprise d'un serveur défectueux
- que je n'ai pas l'occasion de modifier les règles du firewall chaque fois qu'on démarre ou éteint une VM
- que certaines VM à restaurer en cas de crash contiendront des informations qui ne peuvent pas se retrouver dans la DMZ

Il n'existe aucune solution technique à mon problème, même si elle ne respecte pas les meilleures pratiques au niveau de la sécurité?
maljam
Matelot
Matelot
 
Messages: 4
Inscrit le: 30 Jan 2008 15:09

Messagepar Franck78 » 31 Jan 2008 14:03

Peut être que la mise en place d'un VLAN serait plus simple que qu'un VPN. Mais il faut des switchs intelligents pour ce faire.

@jdh, il n'y a pas d'IPCop dans ce réseau.!?


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar maljam » 31 Jan 2008 14:57

Franck78 a écrit:Peut être que la mise en place d'un VLAN serait plus simple que qu'un VPN. Mais il faut des switchs intelligents pour ce faire.


Bye
Le problème est que toutes les interfaces logiques de la VMWARE passent par une seule interface physique connectée à un seul port du switch. Un switch intelligent pourrait-il orienter les paquets arrivant sur un port vers tel ou tel VLAN en fonction de l'adresse IP ? Pour moi le vlan agit sur la couche 2, non? En tous cas pas moyen de faire ça avec notre matériel...
maljam
Matelot
Matelot
 
Messages: 4
Inscrit le: 30 Jan 2008 15:09


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité