M.a.j. d'un serveur web en DMZ
Le
Kefran
Bonjour à tous
Désolé si mes questions font lever les yeux (ou les bras) au ciel à
certains, je débute..
Soit un serveur web (Apache 2.0.53 sur Win2000 serveur) dans une DMZ
(IPCOP 1.4.4), auquel il faut bien accéder depuis le réseau interne pour
les mises-à-jour, machines client en win98 ou 2000, ou MAC OSX.
Quelle serait la solution à retenir pour ces tranferts de fichiers ?
Un classique serveur FTP installé sur la machine serveur web ?
Le module FTP de IIS (par ailleurs utilisé pour sa fonction SMTP)
peut-il convenir ? Ou quelque chose de plus sécurisé ? (j'ai entendu
parler de SSH ?)
Je suppose qu'il faudra bien entendu veiller sous IPCOP à n'autoriser le
FTP que pour DMZ <-> réseau local.
Si vous avez une solution simple, sûre, et gratuite, je suis à votre écoute.
Dernier point : lors de divers test de sécurité en ligne, Apache renvoie
sa banière standard, serait plus prudent de modifier cela, et comment ?
De même que bloquer les ICMP type 8 ?
Merci pour votre aide.
Désolé si mes questions font lever les yeux (ou les bras) au ciel à
certains, je débute..
Soit un serveur web (Apache 2.0.53 sur Win2000 serveur) dans une DMZ
(IPCOP 1.4.4), auquel il faut bien accéder depuis le réseau interne pour
les mises-à-jour, machines client en win98 ou 2000, ou MAC OSX.
Quelle serait la solution à retenir pour ces tranferts de fichiers ?
Un classique serveur FTP installé sur la machine serveur web ?
Le module FTP de IIS (par ailleurs utilisé pour sa fonction SMTP)
peut-il convenir ? Ou quelque chose de plus sécurisé ? (j'ai entendu
parler de SSH ?)
Je suppose qu'il faudra bien entendu veiller sous IPCOP à n'autoriser le
FTP que pour DMZ <-> réseau local.
Si vous avez une solution simple, sûre, et gratuite, je suis à votre écoute.
Dernier point : lors de divers test de sécurité en ligne, Apache renvoie
sa banière standard, serait plus prudent de modifier cela, et comment ?
De même que bloquer les ICMP type 8 ?
Merci pour votre aide.
Poser une question
un morceau de reponse...
Kefran wrote:
http://httpd.apache.org/docs-2.0/mod/core.html rechercher "ServerTokens"
---extrait de la page----
ServerTokens Prod[uctOnly]
Server sends (e.g.): Server: Apache
ServerTokens Major
Server sends (e.g.): Server: Apache/2
ServerTokens Minor
Server sends (e.g.): Server: Apache/2.0
ServerTokens Min[imal]
Server sends (e.g.): Server: Apache/2.0.41
ServerTokens OS
Server sends (e.g.): Server: Apache/2.0.41 (Unix)
ServerTokens Full (or not specified)
Server sends (e.g.): Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2
--------------------------
ça doit marcher sous w32 aussi
--
MaXX
C'est en effet la solution la plus simple.
Si tenu à jour (avec en plus le compte anonyme désactivé), c'est tout
à fait correct pour l'usage que tu souhaites en faire.
Tout dépend de tes besoins. Si tu as confiance dans ton LAN, tu peux
très bien utiliser FTP. SI tu passes en SSH, tu vas galérer pour
convaincre tes utilisateurs (nouveau soft, GUI différente de leur client
FTP habituel, ...).
Euh .. LAN -> DMZ, tu veux dire, non ?
Nicob
Heu, oui, j'ai bien pensé mais mal écrit.
Que penses-tu de l'utilité de droper les ICMP 8 en entrée ?
J'ai lu qu'ils pouvaient être utilisés à des fins nocives, et en dehors
d'un petit outil qui pinguerait à intervalles réguliers l'IP fixe
attribuée au modem-routeur, ou le "www.massociété.com" pour voir si le
serveur est toujours vivant, je n'en vois pas trop l'utilité ?
Merci pour tes lumières :)
Euh, soit IPCop utilise encore ipchains, et il faudrait penser a
mettre a jour, soit il utilise Netfilter, et il y a un conntrack pour
FTP, qui permet d'ecrire des regles de filtrage relativement simples
et d'avoir un suivi stateful des sessions, y compris des sessions DATA
FTP...
A +
VANHU.
Sauf erreur, il utilise Iptables.
C'est lui qu'on peut utiliser en ligne de commande pour affiner les
réglages que permet l'interface web de gestion d'IPCOP.