Besoin de conseils pour des serveurs dispo sur le net.
1 réponse
llopht
Salut à tous,
J'avais jusqu'à présent un serveur chez un hébergeur et je veux en
rajouter une dizaine. Y a t'il au niveau sécurité des choses spécifiques
à installer (sachant que j'ai déjà un petit firewall cisco en amont de
mon serveur) ?
J'entends toujours parler de DMZ mais dans mon cas, vu que tous les
serveurs sont accessibles depuis l'extérieur, je ne vois pas l'intérêt
de faire différent VLAN ou réseau pour séparer l'ensemble (ce ne sont
que des serveurs LAMP).
Autre petite chose, y a t'il des grandes différences (au niveau
sécurité) dans le fait d'utiliser un firewall en mode transparent ou en
mode routage. Le mode routage m'enbête car chaque machine doit avoir une
ip privée, routé obligatoirement vers une ip publique (chaque machine
doit avoir une IP publique donc pas de NAT) 1 machine ça va, 10 machines
ok mais le jour ou j'en aurrai 50 ça deviendra galère.
Si vous pouviez me donner votre avis et vos conseils pour bien gérer ça.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Thoane
Salut à tous,
J'avais jusqu'à présent un serveur chez un hébergeur et je veux en rajouter une dizaine. Y a t'il au niveau sécurité des choses spécifiques à installer (sachant que j'ai déjà un petit firewall cisco en amont de mon serveur) ?
Bonjour,
Gaffe à ce que le firewall soit capable de supporter la charge. Il peut être nécessaire d'en avoir un deuxième pour assurer la redondance, tout dépend du risque que tu es prêt à assumer.
J'entends toujours parler de DMZ mais dans mon cas, vu que tous les serveurs sont accessibles depuis l'extérieur, je ne vois pas l'intérêt de faire différent VLAN ou réseau pour séparer l'ensemble (ce ne sont que des serveurs LAMP).
Justement, tu veux peut être avoir des serveurs dédiés à la base de donnée et éventuellement une machine de test / d'administration / surveillance. Ces machines peuvent être dans une zone sécurisée. Les apaches eux restent en frontal (la DMZ).
Ca te fait quelque chose du genre :
--- Untrust ;) v +----------+ +----------+ +---------------+ | Internet |----| Firewall |----| MySQL + Stats | +----------+ +----------+ | + Admin ... | || || +---------------+ +-----+ || ^--- Zone privée |Chez | +----------+ | Toi | | Apaches | +-----+ | Bastion | <--- DMZ +----------+
Sur le firewall tu met des règles du genre :
- D'internet vers Apaches : autoriser 80 et 443 - De chez toi vers Bastion : autoriser VPN / SSH - De DMZ vers Zone privée : autoriser MySQL - De Bastion vers Zone privée : autoriser SSH / rlogin
Autre petite chose, y a t'il des grandes différences (au niveau sécurité) dans le fait d'utiliser un firewall en mode transparent ou en mode routage. Le mode routage m'enbête car chaque machine doit avoir une ip privée, routé obligatoirement vers une ip publique (chaque machine doit avoir une IP publique donc pas de NAT) 1 machine ça va, 10 machines ok mais le jour ou j'en aurrai 50 ça deviendra galère.
Un firewall n'a ni mode transparent ni mode routage :) Tu parles là de NAT et PAT. Le NAT associe une adresse privée à une adresse public (1 pour 1), le PAT associe des ports d'une adresse à des ports d'une ou plusieurs autres adresses. Effectivement çà devient vite fatiguant à gérer.
-- Thoane
Salut à tous,
J'avais jusqu'à présent un serveur chez un hébergeur et je veux en
rajouter une dizaine. Y a t'il au niveau sécurité des choses spécifiques
à installer (sachant que j'ai déjà un petit firewall cisco en amont de
mon serveur) ?
Bonjour,
Gaffe à ce que le firewall soit capable de supporter la charge. Il peut
être nécessaire d'en avoir un deuxième pour assurer la redondance, tout
dépend du risque que tu es prêt à assumer.
J'entends toujours parler de DMZ mais dans mon cas, vu que tous les
serveurs sont accessibles depuis l'extérieur, je ne vois pas l'intérêt
de faire différent VLAN ou réseau pour séparer l'ensemble (ce ne sont
que des serveurs LAMP).
Justement, tu veux peut être avoir des serveurs dédiés à la base de
donnée et éventuellement une machine de test / d'administration /
surveillance. Ces machines peuvent être dans une zone sécurisée. Les
apaches eux restent en frontal (la DMZ).
Ca te fait quelque chose du genre :
--- Untrust ;)
v
+----------+ +----------+ +---------------+
| Internet |----| Firewall |----| MySQL + Stats |
+----------+ +----------+ | + Admin ... |
|| || +---------------+
+-----+ || ^--- Zone privée
|Chez | +----------+
| Toi | | Apaches |
+-----+ | Bastion | <--- DMZ
+----------+
Sur le firewall tu met des règles du genre :
- D'internet vers Apaches : autoriser 80 et 443
- De chez toi vers Bastion : autoriser VPN / SSH
- De DMZ vers Zone privée : autoriser MySQL
- De Bastion vers Zone privée : autoriser SSH / rlogin
Autre petite chose, y a t'il des grandes différences (au niveau
sécurité) dans le fait d'utiliser un firewall en mode transparent ou en
mode routage. Le mode routage m'enbête car chaque machine doit avoir une
ip privée, routé obligatoirement vers une ip publique (chaque machine
doit avoir une IP publique donc pas de NAT) 1 machine ça va, 10 machines
ok mais le jour ou j'en aurrai 50 ça deviendra galère.
Un firewall n'a ni mode transparent ni mode routage :) Tu parles là de
NAT et PAT. Le NAT associe une adresse privée à une adresse public (1
pour 1), le PAT associe des ports d'une adresse à des ports d'une ou
plusieurs autres adresses. Effectivement çà devient vite fatiguant à gérer.
J'avais jusqu'à présent un serveur chez un hébergeur et je veux en rajouter une dizaine. Y a t'il au niveau sécurité des choses spécifiques à installer (sachant que j'ai déjà un petit firewall cisco en amont de mon serveur) ?
Bonjour,
Gaffe à ce que le firewall soit capable de supporter la charge. Il peut être nécessaire d'en avoir un deuxième pour assurer la redondance, tout dépend du risque que tu es prêt à assumer.
J'entends toujours parler de DMZ mais dans mon cas, vu que tous les serveurs sont accessibles depuis l'extérieur, je ne vois pas l'intérêt de faire différent VLAN ou réseau pour séparer l'ensemble (ce ne sont que des serveurs LAMP).
Justement, tu veux peut être avoir des serveurs dédiés à la base de donnée et éventuellement une machine de test / d'administration / surveillance. Ces machines peuvent être dans une zone sécurisée. Les apaches eux restent en frontal (la DMZ).
Ca te fait quelque chose du genre :
--- Untrust ;) v +----------+ +----------+ +---------------+ | Internet |----| Firewall |----| MySQL + Stats | +----------+ +----------+ | + Admin ... | || || +---------------+ +-----+ || ^--- Zone privée |Chez | +----------+ | Toi | | Apaches | +-----+ | Bastion | <--- DMZ +----------+
Sur le firewall tu met des règles du genre :
- D'internet vers Apaches : autoriser 80 et 443 - De chez toi vers Bastion : autoriser VPN / SSH - De DMZ vers Zone privée : autoriser MySQL - De Bastion vers Zone privée : autoriser SSH / rlogin
Autre petite chose, y a t'il des grandes différences (au niveau sécurité) dans le fait d'utiliser un firewall en mode transparent ou en mode routage. Le mode routage m'enbête car chaque machine doit avoir une ip privée, routé obligatoirement vers une ip publique (chaque machine doit avoir une IP publique donc pas de NAT) 1 machine ça va, 10 machines ok mais le jour ou j'en aurrai 50 ça deviendra galère.
Un firewall n'a ni mode transparent ni mode routage :) Tu parles là de NAT et PAT. Le NAT associe une adresse privée à une adresse public (1 pour 1), le PAT associe des ports d'une adresse à des ports d'une ou plusieurs autres adresses. Effectivement çà devient vite fatiguant à gérer.