Besoin de conseils pour des serveurs dispo sur le net.

Le
llopht
Salut à tous,

J'avais jusqu'à présent un serveur chez un hébergeur et je veux en
rajouter une dizaine. Y a t'il au niveau sécurité des choses spécifiques
à installer (sachant que j'ai déjà un petit firewall cisco en amont de
mon serveur) ?

J'entends toujours parler de DMZ mais dans mon cas, vu que tous les
serveurs sont accessibles depuis l'extérieur, je ne vois pas l'intérêt
de faire différent VLAN ou réseau pour séparer l'ensemble (ce ne sont
que des serveurs LAMP).

Autre petite chose, y a t'il des grandes différences (au niveau
sécurité) dans le fait d'utiliser un firewall en mode transparent ou en
mode routage. Le mode routage m'enbête car chaque machine doit avoir une
ip privée, routé obligatoirement vers une ip publique (chaque machine
doit avoir une IP publique donc pas de NAT) 1 machine ça va, 10 machines
ok mais le jour ou j'en aurrai 50 ça deviendra galère.

Si vous pouviez me donner votre avis et vos conseils pour bien gérer ça.

Merci

llopht!
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Thoane
Le #6794451
Salut à tous,

J'avais jusqu'à présent un serveur chez un hébergeur et je veux en
rajouter une dizaine. Y a t'il au niveau sécurité des choses spécifiques
à installer (sachant que j'ai déjà un petit firewall cisco en amont de
mon serveur) ?


Bonjour,

Gaffe à ce que le firewall soit capable de supporter la charge. Il peut
être nécessaire d'en avoir un deuxième pour assurer la redondance, tout
dépend du risque que tu es prêt à assumer.

J'entends toujours parler de DMZ mais dans mon cas, vu que tous les
serveurs sont accessibles depuis l'extérieur, je ne vois pas l'intérêt
de faire différent VLAN ou réseau pour séparer l'ensemble (ce ne sont
que des serveurs LAMP).


Justement, tu veux peut être avoir des serveurs dédiés à la base de
donnée et éventuellement une machine de test / d'administration /
surveillance. Ces machines peuvent être dans une zone sécurisée. Les
apaches eux restent en frontal (la DMZ).

Ca te fait quelque chose du genre :

--- Untrust ;)
v
+----------+ +----------+ +---------------+
| Internet |----| Firewall |----| MySQL + Stats |
+----------+ +----------+ | + Admin ... |
|| || +---------------+
+-----+ || ^--- Zone privée
|Chez | +----------+
| Toi | | Apaches |
+-----+ | Bastion | <--- DMZ
+----------+

Sur le firewall tu met des règles du genre :

- D'internet vers Apaches : autoriser 80 et 443
- De chez toi vers Bastion : autoriser VPN / SSH
- De DMZ vers Zone privée : autoriser MySQL
- De Bastion vers Zone privée : autoriser SSH / rlogin

Autre petite chose, y a t'il des grandes différences (au niveau
sécurité) dans le fait d'utiliser un firewall en mode transparent ou en
mode routage. Le mode routage m'enbête car chaque machine doit avoir une
ip privée, routé obligatoirement vers une ip publique (chaque machine
doit avoir une IP publique donc pas de NAT) 1 machine ça va, 10 machines
ok mais le jour ou j'en aurrai 50 ça deviendra galère.


Un firewall n'a ni mode transparent ni mode routage :) Tu parles là de
NAT et PAT. Le NAT associe une adresse privée à une adresse public (1
pour 1), le PAT associe des ports d'une adresse à des ports d'une ou
plusieurs autres adresses. Effectivement çà devient vite fatiguant à gérer.

--
Thoane

Publicité
Poster une réponse
Anonyme