alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le dmz
et pourquoi le faire ? si je le laisse derierre le firewall avec la
translation d'adresse ca va posser pb ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
T0t0
"alban" wrote in message news:c7as3o$uc$
alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le dmz et pourquoi le faire ?
C'est un principe de sécurité, tu sépares les serveurs accessibles depuis Internet des machines qui ne le sont pas. Ainsi, si jamais l'une d'elles se fait pirater, les machines de ton réseau local ne seront pas directement accessibles.
si je le laisse derierre le firewall avec la translation d'adresse ca va posser pb ?
Ca marchera très bien, mais tu mettras ton réseau en péril si jamais ton serveur se fait pirater.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"alban" <info@microsoft.com> wrote in message
news:c7as3o$uc$5@news-reader5.wanadoo.fr
alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le dmz
et pourquoi le faire ?
C'est un principe de sécurité, tu sépares les serveurs accessibles
depuis Internet des machines qui ne le sont pas.
Ainsi, si jamais l'une d'elles se fait pirater, les machines de ton
réseau local ne seront pas directement accessibles.
si je le laisse derierre le firewall avec la
translation d'adresse ca va posser pb ?
Ca marchera très bien, mais tu mettras ton réseau en péril si jamais
ton serveur se fait pirater.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le dmz et pourquoi le faire ?
C'est un principe de sécurité, tu sépares les serveurs accessibles depuis Internet des machines qui ne le sont pas. Ainsi, si jamais l'une d'elles se fait pirater, les machines de ton réseau local ne seront pas directement accessibles.
si je le laisse derierre le firewall avec la translation d'adresse ca va posser pb ?
Ca marchera très bien, mais tu mettras ton réseau en péril si jamais ton serveur se fait pirater.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
alban
T0t0 wrote:
"alban" wrote in message news:c7as3o$uc$
alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le dmz et pourquoi le faire ?
C'est un principe de sécurité, tu sépares les serveurs accessibles depuis Internet des machines qui ne le sont pas. Ainsi, si jamais l'une d'elles se fait pirater, les machines de ton réseau local ne seront pas directement accessibles.
si je le laisse derierre le firewall avec la translation d'adresse ca va posser pb ?
Ca marchera très bien, mais tu mettras ton réseau en péril si jamais ton serveur se fait pirater.
ok mais pour pirater le pc faudra deja passer le firewall un minimu quoi que peu etre une faille du ftp qui sera ouvert et j'ai oubiler de dire que c'est un DMZ logique et pas physique j'y crois pas des masse donc mais bon, encore un avi ?
merci -- oui je sais...
T0t0 wrote:
"alban" <info@microsoft.com> wrote in message
news:c7as3o$uc$5@news-reader5.wanadoo.fr
alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le
dmz et pourquoi le faire ?
C'est un principe de sécurité, tu sépares les serveurs accessibles
depuis Internet des machines qui ne le sont pas.
Ainsi, si jamais l'une d'elles se fait pirater, les machines de ton
réseau local ne seront pas directement accessibles.
si je le laisse derierre le firewall avec la
translation d'adresse ca va posser pb ?
Ca marchera très bien, mais tu mettras ton réseau en péril si jamais
ton serveur se fait pirater.
ok mais pour pirater le pc faudra deja passer le firewall un minimu quoi que
peu etre une faille du ftp qui sera ouvert et j'ai oubiler de dire que
c'est un DMZ logique et pas physique j'y crois pas des masse donc mais bon,
encore un avi ?
alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le dmz et pourquoi le faire ?
C'est un principe de sécurité, tu sépares les serveurs accessibles depuis Internet des machines qui ne le sont pas. Ainsi, si jamais l'une d'elles se fait pirater, les machines de ton réseau local ne seront pas directement accessibles.
si je le laisse derierre le firewall avec la translation d'adresse ca va posser pb ?
Ca marchera très bien, mais tu mettras ton réseau en péril si jamais ton serveur se fait pirater.
ok mais pour pirater le pc faudra deja passer le firewall un minimu quoi que peu etre une faille du ftp qui sera ouvert et j'ai oubiler de dire que c'est un DMZ logique et pas physique j'y crois pas des masse donc mais bon, encore un avi ?
merci -- oui je sais...
T0t0
"alban" wrote in message news:c7asri$ea2$
ok mais pour pirater le pc faudra deja passer le firewall un minimu quoi que peu etre une faille du ftp qui sera ouvert et j'ai oubiler de dire que c'est un DMZ logique et pas physique j'y crois pas des masse donc mais bon, encore un avi ?
Je ne suis pas sûr d'avoir été clair. D'un coté, tu as le traffic LAN<->Internet, et tu bloques tout en entrée, rien ne passe. Par ailleurs, tu as le traffic DMZ<->Internet, et là, tu autorises le traffic entrant pour tous les protocoles que tu souhaites rendre accessibles (dans ton cas FTP)
Si tout cela est bien fait, une façon d'attaquer ton réseau est effectivement d'utiliser une faille sur ton serveur FTP, ce qui n'est pas obligatoirement simple. Tu peux te dire "Ca n'arrivera jamais" et dans ce cas la vie est belle. Mais les exemples de vers récents montrent que peu de monde est invulnérable (voir slammer, codered, et autres vers applicatifs) Ou tu peux te dire qu'il est possible que ta becane se fasse un jour pirater. Et dans ce cas, il est essentiel qu'elle soit isolée du reste du réseau puisqu'elle représente une faille potentielle dans ton système.
Le fait d'utiliser une DMZ logique est un autre problème. Tu fais cela par trunking de VLANs avec une patte unique sur ton firewall ? ou juste par VLAN sur un même switch ?
Maintenant, c'est à toi de voir ;-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"alban" <info@microsoft.com> wrote in message
news:c7asri$ea2$1@news-reader2.wanadoo.fr
ok mais pour pirater le pc faudra deja passer le firewall un minimu quoi que
peu etre une faille du ftp qui sera ouvert et j'ai oubiler de dire que
c'est un DMZ logique et pas physique j'y crois pas des masse donc mais bon,
encore un avi ?
Je ne suis pas sûr d'avoir été clair.
D'un coté, tu as le traffic LAN<->Internet, et tu bloques tout en
entrée, rien ne passe.
Par ailleurs, tu as le traffic DMZ<->Internet, et là, tu autorises le
traffic entrant pour tous les protocoles que tu souhaites rendre
accessibles (dans ton cas FTP)
Si tout cela est bien fait, une façon d'attaquer ton réseau est
effectivement d'utiliser une faille sur ton serveur FTP, ce qui n'est
pas obligatoirement simple. Tu peux te dire "Ca n'arrivera jamais" et
dans ce cas la vie est belle. Mais les exemples de vers récents
montrent que peu de monde est invulnérable (voir slammer, codered,
et autres vers applicatifs)
Ou tu peux te dire qu'il est possible que ta becane se fasse un jour
pirater. Et dans ce cas, il est essentiel qu'elle soit isolée du
reste du réseau puisqu'elle représente une faille potentielle dans
ton système.
Le fait d'utiliser une DMZ logique est un autre problème. Tu fais
cela par trunking de VLANs avec une patte unique sur ton firewall ?
ou juste par VLAN sur un même switch ?
Maintenant, c'est à toi de voir ;-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
ok mais pour pirater le pc faudra deja passer le firewall un minimu quoi que peu etre une faille du ftp qui sera ouvert et j'ai oubiler de dire que c'est un DMZ logique et pas physique j'y crois pas des masse donc mais bon, encore un avi ?
Je ne suis pas sûr d'avoir été clair. D'un coté, tu as le traffic LAN<->Internet, et tu bloques tout en entrée, rien ne passe. Par ailleurs, tu as le traffic DMZ<->Internet, et là, tu autorises le traffic entrant pour tous les protocoles que tu souhaites rendre accessibles (dans ton cas FTP)
Si tout cela est bien fait, une façon d'attaquer ton réseau est effectivement d'utiliser une faille sur ton serveur FTP, ce qui n'est pas obligatoirement simple. Tu peux te dire "Ca n'arrivera jamais" et dans ce cas la vie est belle. Mais les exemples de vers récents montrent que peu de monde est invulnérable (voir slammer, codered, et autres vers applicatifs) Ou tu peux te dire qu'il est possible que ta becane se fasse un jour pirater. Et dans ce cas, il est essentiel qu'elle soit isolée du reste du réseau puisqu'elle représente une faille potentielle dans ton système.
Le fait d'utiliser une DMZ logique est un autre problème. Tu fais cela par trunking de VLANs avec une patte unique sur ton firewall ? ou juste par VLAN sur un même switch ?
Maintenant, c'est à toi de voir ;-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Annie D.
T0t0 wrote:
Le fait d'utiliser une DMZ logique est un autre problème. Tu fais cela par trunking de VLANs avec une patte unique sur ton firewall ? ou juste par VLAN sur un même switch ?
J'ai peur que cela ne soit rien de tout cela.
Avec certains routeurs, en particulier les modèles destinés à une utilisation domestique, le terme "DMZ" a pris un sens un peu curieux : une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que les autres, reçoit tout le trafic entrant qui n'a pas de destination spécifique (connexion existante ou redirection explicite).
La machine en "DMZ", ainsi exposée, a toutes les chances de se faire trouer par la moindre vulnérabilité d'un de ses services et rien ne l'empêche alors de servir de relais pour attaquer le reste du LAN. En bref, tout le contraire du concept normal de DMZ.
T0t0 wrote:
Le fait d'utiliser une DMZ logique est un autre problème. Tu fais
cela par trunking de VLANs avec une patte unique sur ton firewall ?
ou juste par VLAN sur un même switch ?
J'ai peur que cela ne soit rien de tout cela.
Avec certains routeurs, en particulier les modèles destinés à une
utilisation domestique, le terme "DMZ" a pris un sens un peu curieux :
une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que
les autres, reçoit tout le trafic entrant qui n'a pas de destination
spécifique (connexion existante ou redirection explicite).
La machine en "DMZ", ainsi exposée, a toutes les chances de se faire
trouer par la moindre vulnérabilité d'un de ses services et rien ne
l'empêche alors de servir de relais pour attaquer le reste du LAN. En
bref, tout le contraire du concept normal de DMZ.
Le fait d'utiliser une DMZ logique est un autre problème. Tu fais cela par trunking de VLANs avec une patte unique sur ton firewall ? ou juste par VLAN sur un même switch ?
J'ai peur que cela ne soit rien de tout cela.
Avec certains routeurs, en particulier les modèles destinés à une utilisation domestique, le terme "DMZ" a pris un sens un peu curieux : une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que les autres, reçoit tout le trafic entrant qui n'a pas de destination spécifique (connexion existante ou redirection explicite).
La machine en "DMZ", ainsi exposée, a toutes les chances de se faire trouer par la moindre vulnérabilité d'un de ses services et rien ne l'empêche alors de servir de relais pour attaquer le reste du LAN. En bref, tout le contraire du concept normal de DMZ.
alban
Annie D. wrote:
T0t0 wrote:
Le fait d'utiliser une DMZ logique est un autre problème. Tu fais cela par trunking de VLANs avec une patte unique sur ton firewall ? ou juste par VLAN sur un même switch ?
J'ai peur que cela ne soit rien de tout cela.
Avec certains routeurs, en particulier les modèles destinés à une utilisation domestique, le terme "DMZ" a pris un sens un peu curieux : une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que les autres, reçoit tout le trafic entrant qui n'a pas de destination spécifique (connexion existante ou redirection explicite).
La machine en "DMZ", ainsi exposée, a toutes les chances de se faire trouer par la moindre vulnérabilité d'un de ses services et rien ne l'empêche alors de servir de relais pour attaquer le reste du LAN. En bref, tout le contraire du concept normal de DMZ.
merci annie D tout a fais ce que je pense, donc ce genre de DMZ et inutile ? me conseillez vous de place mon serveur ftp (qui ce trouve sur mon lan) derrier le FW et de faire du forwarding ? -- oui je sais...
Annie D. wrote:
T0t0 wrote:
Le fait d'utiliser une DMZ logique est un autre problème. Tu fais
cela par trunking de VLANs avec une patte unique sur ton firewall ?
ou juste par VLAN sur un même switch ?
J'ai peur que cela ne soit rien de tout cela.
Avec certains routeurs, en particulier les modèles destinés à une
utilisation domestique, le terme "DMZ" a pris un sens un peu curieux :
une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que
les autres, reçoit tout le trafic entrant qui n'a pas de destination
spécifique (connexion existante ou redirection explicite).
La machine en "DMZ", ainsi exposée, a toutes les chances de se faire
trouer par la moindre vulnérabilité d'un de ses services et rien ne
l'empêche alors de servir de relais pour attaquer le reste du LAN. En
bref, tout le contraire du concept normal de DMZ.
merci annie D tout a fais ce que je pense, donc ce genre de DMZ et inutile ?
me conseillez vous de place mon serveur ftp (qui ce trouve sur mon lan)
derrier le FW et de faire du forwarding ?
--
oui je sais...
Le fait d'utiliser une DMZ logique est un autre problème. Tu fais cela par trunking de VLANs avec une patte unique sur ton firewall ? ou juste par VLAN sur un même switch ?
J'ai peur que cela ne soit rien de tout cela.
Avec certains routeurs, en particulier les modèles destinés à une utilisation domestique, le terme "DMZ" a pris un sens un peu curieux : une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que les autres, reçoit tout le trafic entrant qui n'a pas de destination spécifique (connexion existante ou redirection explicite).
La machine en "DMZ", ainsi exposée, a toutes les chances de se faire trouer par la moindre vulnérabilité d'un de ses services et rien ne l'empêche alors de servir de relais pour attaquer le reste du LAN. En bref, tout le contraire du concept normal de DMZ.
merci annie D tout a fais ce que je pense, donc ce genre de DMZ et inutile ? me conseillez vous de place mon serveur ftp (qui ce trouve sur mon lan) derrier le FW et de faire du forwarding ? -- oui je sais...
T0t0
"Annie D." wrote in message news:
Avec certains routeurs, en particulier les modèles destinés à une utilisation domestique, le terme "DMZ" a pris un sens un peu curieux : une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que les autres, reçoit tout le trafic entrant qui n'a pas de destination spécifique (connexion existante ou redirection explicite).
Nan, ils ont pas fait ca ? Ca devient vraiment n'importe quoi le réseau, on utilise des termes génriques pour désigner tout et n'importe quoi.
La machine en "DMZ", ainsi exposée, a toutes les chances de se faire trouer par la moindre vulnérabilité d'un de ses services et rien ne l'empêche alors de servir de relais pour attaquer le reste du LAN. En bref, tout le contraire du concept normal de DMZ.
Arf, un point de plus à ajouter dans mon petit lexique. Et le grand gagnant est encore une fois l'utilisateur final qui se pigeonnise un peu plus à chaque fois qu'un commercial a un éclair de génie...
Pour ceux que ca intéresse: <http://www.lalitte.com/reseau.html#denomi>
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Annie D." <annie.demur@free.fr> wrote in message
news:40996D41.A4A7C6A2@free.fr
Avec certains routeurs, en particulier les modèles destinés à une
utilisation domestique, le terme "DMZ" a pris un sens un peu curieux :
une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que
les autres, reçoit tout le trafic entrant qui n'a pas de destination
spécifique (connexion existante ou redirection explicite).
Nan, ils ont pas fait ca ?
Ca devient vraiment n'importe quoi le réseau, on utilise des termes
génriques pour désigner tout et n'importe quoi.
La machine en "DMZ", ainsi exposée, a toutes les chances de se faire
trouer par la moindre vulnérabilité d'un de ses services et rien ne
l'empêche alors de servir de relais pour attaquer le reste du LAN. En
bref, tout le contraire du concept normal de DMZ.
Arf, un point de plus à ajouter dans mon petit lexique. Et le grand
gagnant est encore une fois l'utilisateur final qui se pigeonnise
un peu plus à chaque fois qu'un commercial a un éclair de génie...
Pour ceux que ca intéresse:
<http://www.lalitte.com/reseau.html#denomi>
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Avec certains routeurs, en particulier les modèles destinés à une utilisation domestique, le terme "DMZ" a pris un sens un peu curieux : une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que les autres, reçoit tout le trafic entrant qui n'a pas de destination spécifique (connexion existante ou redirection explicite).
Nan, ils ont pas fait ca ? Ca devient vraiment n'importe quoi le réseau, on utilise des termes génriques pour désigner tout et n'importe quoi.
La machine en "DMZ", ainsi exposée, a toutes les chances de se faire trouer par la moindre vulnérabilité d'un de ses services et rien ne l'empêche alors de servir de relais pour attaquer le reste du LAN. En bref, tout le contraire du concept normal de DMZ.
Arf, un point de plus à ajouter dans mon petit lexique. Et le grand gagnant est encore une fois l'utilisateur final qui se pigeonnise un peu plus à chaque fois qu'un commercial a un éclair de génie...
Pour ceux que ca intéresse: <http://www.lalitte.com/reseau.html#denomi>
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Annie D.
T0t0 wrote:
Avec certains routeurs, en particulier les modèles destinés à une utilisation domestique, le terme "DMZ" a pris un sens un peu curieux : une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que les autres, reçoit tout le trafic entrant qui n'a pas de destination spécifique (connexion existante ou redirection explicite).
Nan, ils ont pas fait ca ?
(C'est de l'anglais, mais je ne voudrais pas risquer d'altérer le texte original par un contre-sens dans la traduction.)
Définition selon D-Link :
"DMZ Host Supported Allows a networked computer to be fully exposed to the Internet. This function is used when the Special Application feature is insufficient to allow an application to function correctly."
Définition selon Netgear :
"Incoming traffic from the Internet is normally discarded by the gateway unless the traffic is a response to one of your local computers or a service that you have configured in the Port Forwarding menu. Instead of discarding this traffic, you can have it forwarded to one computer on your network. This computer is called the Default DMZ Server."
A la décharge de ces deux fabricants, les manuels indiquent qu'il vaut mieux éviter cette configuration car elle expose à des risques de sécurité.
T0t0 wrote:
Avec certains routeurs, en particulier les modèles destinés à une
utilisation domestique, le terme "DMZ" a pris un sens un peu curieux :
une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que
les autres, reçoit tout le trafic entrant qui n'a pas de destination
spécifique (connexion existante ou redirection explicite).
Nan, ils ont pas fait ca ?
(C'est de l'anglais, mais je ne voudrais pas risquer d'altérer le texte
original par un contre-sens dans la traduction.)
Définition selon D-Link :
"DMZ Host Supported
Allows a networked computer to be fully exposed to the Internet. This
function is used when the Special Application feature is insufficient
to allow an application to function correctly."
Définition selon Netgear :
"Incoming traffic from the Internet is normally discarded by the
gateway unless the traffic is a response to one of your local
computers or a service that you have configured in the Port
Forwarding menu. Instead of discarding this traffic, you can have it
forwarded to one computer on your network. This computer is called the
Default DMZ Server."
A la décharge de ces deux fabricants, les manuels indiquent qu'il vaut
mieux éviter cette configuration car elle expose à des risques de
sécurité.
Avec certains routeurs, en particulier les modèles destinés à une utilisation domestique, le terme "DMZ" a pris un sens un peu curieux : une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que les autres, reçoit tout le trafic entrant qui n'a pas de destination spécifique (connexion existante ou redirection explicite).
Nan, ils ont pas fait ca ?
(C'est de l'anglais, mais je ne voudrais pas risquer d'altérer le texte original par un contre-sens dans la traduction.)
Définition selon D-Link :
"DMZ Host Supported Allows a networked computer to be fully exposed to the Internet. This function is used when the Special Application feature is insufficient to allow an application to function correctly."
Définition selon Netgear :
"Incoming traffic from the Internet is normally discarded by the gateway unless the traffic is a response to one of your local computers or a service that you have configured in the Port Forwarding menu. Instead of discarding this traffic, you can have it forwarded to one computer on your network. This computer is called the Default DMZ Server."
A la décharge de ces deux fabricants, les manuels indiquent qu'il vaut mieux éviter cette configuration car elle expose à des risques de sécurité.
T0t0
"Annie D." wrote in message news:
A la décharge de ces deux fabricants, les manuels indiquent qu'il vaut mieux éviter cette configuration car elle expose à des risques de sécurité.
Ah oui, mais là, c'est la porte ouverte à n'importe quoi. On associe habituellemnt le concept de DMZ à celui de sécurité (du moins c'est une notion qui permet d'augmenter la sécurité du réseau) alors que là, c'est tout l'inverse, on diminue la sécurité du réseau !
Sans parler des vers windows et autres. C'est la cata...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Annie D." <annie.demur@free.fr> wrote in message
news:409AB256.1503D4EE@free.fr
A la décharge de ces deux fabricants, les manuels indiquent qu'il vaut
mieux éviter cette configuration car elle expose à des risques de
sécurité.
Ah oui, mais là, c'est la porte ouverte à n'importe quoi.
On associe habituellemnt le concept de DMZ à celui de sécurité (du
moins c'est une notion qui permet d'augmenter la sécurité du réseau)
alors que là, c'est tout l'inverse, on diminue la sécurité du réseau !
Sans parler des vers windows et autres. C'est la cata...
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
A la décharge de ces deux fabricants, les manuels indiquent qu'il vaut mieux éviter cette configuration car elle expose à des risques de sécurité.
Ah oui, mais là, c'est la porte ouverte à n'importe quoi. On associe habituellemnt le concept de DMZ à celui de sécurité (du moins c'est une notion qui permet d'augmenter la sécurité du réseau) alors que là, c'est tout l'inverse, on diminue la sécurité du réseau !
Sans parler des vers windows et autres. C'est la cata...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
