En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre
la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ?
Directement sur le réseau interne ?
Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la
passerelle et le réseau interne passe en clair ?
Merci infiniment pour votre aide.
A.H.
PS : Merci à l'auteur de la présentation et au cabinet HSC :-))
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Bruno Bonfils
(Amina Hadraoui) writes:
En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ? Directement sur le réseau interne ? Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la passerelle et le réseau interne passe en clair ?
Perso (cf un thread que j'ai commence ya quelques mois deja sur une question d'archi) j'ai finalement opte pour que la patte interne du VPN arrive sur une interface dédée du deuxième firewall. Ce qui est relativement agrébable pour l'écriture des règles.
Mes 42 cents
-- _o<
amina_hadraoui@yahoo.fr (Amina Hadraoui) writes:
En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre
la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ?
Directement sur le réseau interne ?
Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la
passerelle et le réseau interne passe en clair ?
Perso (cf un thread que j'ai commence ya quelques mois deja sur une
question d'archi) j'ai finalement opte pour que la patte interne du
VPN arrive sur une interface dédée du deuxième firewall. Ce qui est
relativement agrébable pour l'écriture des règles.
En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ? Directement sur le réseau interne ? Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la passerelle et le réseau interne passe en clair ?
Perso (cf un thread que j'ai commence ya quelques mois deja sur une question d'archi) j'ai finalement opte pour que la patte interne du VPN arrive sur une interface dédée du deuxième firewall. Ce qui est relativement agrébable pour l'écriture des règles.
Mes 42 cents
-- _o<
VANHULLEBUS Yvan
(Amina Hadraoui) writes:
Bonjour,
Je m'intéresse à la configuration décrite dans le slide suivant :
Pour info, ce genre d'archis a 2 firewalls m'a toujours paru un peu complexe a mettre en oeuvre....
En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ? Directement sur le réseau interne ? Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la passerelle et le réseau interne passe en clair ?
Vu le schema, j'aurais tendance a dire que la passerelle VPN presentee n'a qu'une patte "physique", et que le traffic sortant des VPNs va arriver sur le firewall "premier etage".
Ce qui me parait genant si des traffics VPNs sont succeptibles d'arriver jusqu'a des reseauc proteges par le 2eme firewall, car celui-ci sera incapable de determiner si ces traffics arrivent bien d'un des tunnels VPN ou d'autre part (exterieur, machine branchee entre les 2 firewalls, serveur corrompu, etc....).
Bref, tout ca pour dire:
1) Je suis pas fan des archis a 2 etages de firewalls (en general, y'a des cas ou ca peut etre utile).
2) Ca depend beaucoup des flux possibles, donc y'a pas assez d'infos sur le schema pour donner la "bonne" reponse.
A +
VANHU.
amina_hadraoui@yahoo.fr (Amina Hadraoui) writes:
Bonjour,
Je m'intéresse à la configuration décrite dans le slide suivant :
Pour info, ce genre d'archis a 2 firewalls m'a toujours paru un peu
complexe a mettre en oeuvre....
En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre
la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ?
Directement sur le réseau interne ?
Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la
passerelle et le réseau interne passe en clair ?
Vu le schema, j'aurais tendance a dire que la passerelle VPN presentee
n'a qu'une patte "physique", et que le traffic sortant des VPNs va
arriver sur le firewall "premier etage".
Ce qui me parait genant si des traffics VPNs sont succeptibles
d'arriver jusqu'a des reseauc proteges par le 2eme firewall, car
celui-ci sera incapable de determiner si ces traffics arrivent bien
d'un des tunnels VPN ou d'autre part (exterieur, machine branchee
entre les 2 firewalls, serveur corrompu, etc....).
Bref, tout ca pour dire:
1) Je suis pas fan des archis a 2 etages de firewalls (en general, y'a
des cas ou ca peut etre utile).
2) Ca depend beaucoup des flux possibles, donc y'a pas assez d'infos
sur le schema pour donner la "bonne" reponse.
Pour info, ce genre d'archis a 2 firewalls m'a toujours paru un peu complexe a mettre en oeuvre....
En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ? Directement sur le réseau interne ? Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la passerelle et le réseau interne passe en clair ?
Vu le schema, j'aurais tendance a dire que la passerelle VPN presentee n'a qu'une patte "physique", et que le traffic sortant des VPNs va arriver sur le firewall "premier etage".
Ce qui me parait genant si des traffics VPNs sont succeptibles d'arriver jusqu'a des reseauc proteges par le 2eme firewall, car celui-ci sera incapable de determiner si ces traffics arrivent bien d'un des tunnels VPN ou d'autre part (exterieur, machine branchee entre les 2 firewalls, serveur corrompu, etc....).
Bref, tout ca pour dire:
1) Je suis pas fan des archis a 2 etages de firewalls (en general, y'a des cas ou ca peut etre utile).
2) Ca depend beaucoup des flux possibles, donc y'a pas assez d'infos sur le schema pour donner la "bonne" reponse.
A +
VANHU.
grd
Ces archis avec DMZ sont très classiques dans des réseau très sécurisés ( banques etc ) .
"D'un point de vue général, le but d'une DMZ est de faire transiter à deux reprises des informations vitales via le firewall. Par exemple, sur un pare-feu, on appelle DMZ une zone qui n'est ni publique, ni privée.
Ces zones ne peuvent exister que si le pare-feu possède au moins deux interfaces réseaux, mais il est plutôt conseillé d'en avoir 3 pour pouvoir séparer physiquement les differentes zones (Internet/DMZ/LAN). C'est donc en général le brin de réseau physique compris entre le point d'entrée et le Firewall, où l'on connecte des bastions (machine très sécurisées à services publiques ou contrôlés)"
Voir : http://www.blocus-zone.com/modules/news/article.php?storyidR3 d'où sont extraites les lignes entre " si dessus.
GRD
"VANHULLEBUS Yvan" a écrit dans le message de news:
(Amina Hadraoui) writes:
Bonjour,
Je m'intéresse à la configuration décrite dans le slide suivant :
Pour info, ce genre d'archis a 2 firewalls m'a toujours paru un peu complexe a mettre en oeuvre....
En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ? Directement sur le réseau interne ? Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la passerelle et le réseau interne passe en clair ?
Vu le schema, j'aurais tendance a dire que la passerelle VPN presentee n'a qu'une patte "physique", et que le traffic sortant des VPNs va arriver sur le firewall "premier etage".
Ce qui me parait genant si des traffics VPNs sont succeptibles d'arriver jusqu'a des reseauc proteges par le 2eme firewall, car celui-ci sera incapable de determiner si ces traffics arrivent bien d'un des tunnels VPN ou d'autre part (exterieur, machine branchee entre les 2 firewalls, serveur corrompu, etc....).
Bref, tout ca pour dire:
1) Je suis pas fan des archis a 2 etages de firewalls (en general, y'a des cas ou ca peut etre utile).
2) Ca depend beaucoup des flux possibles, donc y'a pas assez d'infos sur le schema pour donner la "bonne" reponse.
A +
VANHU.
Ces archis avec DMZ sont très classiques dans des réseau très sécurisés (
banques etc ) .
"D'un point de vue général, le but d'une DMZ est de faire transiter à deux
reprises des informations vitales via le firewall. Par exemple, sur un
pare-feu, on appelle DMZ une zone qui n'est ni publique, ni privée.
Ces zones ne peuvent exister que si le pare-feu possède au moins deux
interfaces réseaux, mais il est plutôt conseillé d'en avoir 3 pour pouvoir
séparer physiquement les differentes zones (Internet/DMZ/LAN). C'est donc en
général le brin de réseau physique compris entre le point d'entrée et le
Firewall, où l'on connecte des bastions (machine très sécurisées à services
publiques ou contrôlés)"
Voir : http://www.blocus-zone.com/modules/news/article.php?storyidR3
d'où sont extraites les lignes entre " si dessus.
GRD
"VANHULLEBUS Yvan" <vanhu@nospam_free.fr> a écrit dans le message de news:
871xa5b3je.fsf@actarus.zen.inc...
amina_hadraoui@yahoo.fr (Amina Hadraoui) writes:
Bonjour,
Je m'intéresse à la configuration décrite dans le slide suivant :
Pour info, ce genre d'archis a 2 firewalls m'a toujours paru un peu
complexe a mettre en oeuvre....
En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre
la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ?
Directement sur le réseau interne ?
Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la
passerelle et le réseau interne passe en clair ?
Vu le schema, j'aurais tendance a dire que la passerelle VPN presentee
n'a qu'une patte "physique", et que le traffic sortant des VPNs va
arriver sur le firewall "premier etage".
Ce qui me parait genant si des traffics VPNs sont succeptibles
d'arriver jusqu'a des reseauc proteges par le 2eme firewall, car
celui-ci sera incapable de determiner si ces traffics arrivent bien
d'un des tunnels VPN ou d'autre part (exterieur, machine branchee
entre les 2 firewalls, serveur corrompu, etc....).
Bref, tout ca pour dire:
1) Je suis pas fan des archis a 2 etages de firewalls (en general, y'a
des cas ou ca peut etre utile).
2) Ca depend beaucoup des flux possibles, donc y'a pas assez d'infos
sur le schema pour donner la "bonne" reponse.
Ces archis avec DMZ sont très classiques dans des réseau très sécurisés ( banques etc ) .
"D'un point de vue général, le but d'une DMZ est de faire transiter à deux reprises des informations vitales via le firewall. Par exemple, sur un pare-feu, on appelle DMZ une zone qui n'est ni publique, ni privée.
Ces zones ne peuvent exister que si le pare-feu possède au moins deux interfaces réseaux, mais il est plutôt conseillé d'en avoir 3 pour pouvoir séparer physiquement les differentes zones (Internet/DMZ/LAN). C'est donc en général le brin de réseau physique compris entre le point d'entrée et le Firewall, où l'on connecte des bastions (machine très sécurisées à services publiques ou contrôlés)"
Voir : http://www.blocus-zone.com/modules/news/article.php?storyidR3 d'où sont extraites les lignes entre " si dessus.
GRD
"VANHULLEBUS Yvan" a écrit dans le message de news:
(Amina Hadraoui) writes:
Bonjour,
Je m'intéresse à la configuration décrite dans le slide suivant :
Pour info, ce genre d'archis a 2 firewalls m'a toujours paru un peu complexe a mettre en oeuvre....
En fait, je voudrais juste savoir où est-ce qu'il est préconisé de mettre la deuxième patte de la passerelle VPN ? Sur le deuxième fierwall ? Directement sur le réseau interne ? Dans ce dernier cas n'y a-t-il pas un risque puisque le flux entre la passerelle et le réseau interne passe en clair ?
Vu le schema, j'aurais tendance a dire que la passerelle VPN presentee n'a qu'une patte "physique", et que le traffic sortant des VPNs va arriver sur le firewall "premier etage".
Ce qui me parait genant si des traffics VPNs sont succeptibles d'arriver jusqu'a des reseauc proteges par le 2eme firewall, car celui-ci sera incapable de determiner si ces traffics arrivent bien d'un des tunnels VPN ou d'autre part (exterieur, machine branchee entre les 2 firewalls, serveur corrompu, etc....).
Bref, tout ca pour dire:
1) Je suis pas fan des archis a 2 etages de firewalls (en general, y'a des cas ou ca peut etre utile).
2) Ca depend beaucoup des flux possibles, donc y'a pas assez d'infos sur le schema pour donner la "bonne" reponse.
A +
VANHU.
VANHULLEBUS Yvan
grd writes:
[....]
"D'un point de vue général, le but d'une DMZ est de faire transiter à deux reprises des informations vitales via le firewall. Par exemple, sur un pare-feu, on appelle DMZ une zone qui n'est ni publique, ni privée. [...]
C'est trop sympa de m'expliquer le concept de DMZ, merci, vraiment :-)
En prenant un peu le temps de relire mon post, tu constateras que ca n'est pas la notion de "firewall a plusieurs pattes" qui me derange (sinon, faudrait que je change de metier, je pense :-), mais bien le fait d'avoir un reseau "a 2 etages de firewalls"....
En general, surtout pour ce genre de configurations (avec VPN), il vaut mieux avoir UN firewall avec *plein* d'interfaces (enfin, autant que necessaire, quoi) plutot que 2 firewalls, parceque sinon, le second n'est pas capable de determiner si un flux arrivant sur son interface externe vient d'un tunnel VPN ou directement du grand mechant Internet....
A +
VANHU.
grd <grd32@pacerapas.yahoo.fr> writes:
[....]
"D'un point de vue général, le but d'une DMZ est de faire transiter à deux
reprises des informations vitales via le firewall. Par exemple, sur un
pare-feu, on appelle DMZ une zone qui n'est ni publique, ni privée.
[...]
C'est trop sympa de m'expliquer le concept de DMZ, merci, vraiment :-)
En prenant un peu le temps de relire mon post, tu constateras que ca
n'est pas la notion de "firewall a plusieurs pattes" qui me derange
(sinon, faudrait que je change de metier, je pense :-), mais bien le
fait d'avoir un reseau "a 2 etages de firewalls"....
En general, surtout pour ce genre de configurations (avec VPN), il
vaut mieux avoir UN firewall avec *plein* d'interfaces (enfin, autant
que necessaire, quoi) plutot que 2 firewalls, parceque sinon, le
second n'est pas capable de determiner si un flux arrivant sur son
interface externe vient d'un tunnel VPN ou directement du grand
mechant Internet....
"D'un point de vue général, le but d'une DMZ est de faire transiter à deux reprises des informations vitales via le firewall. Par exemple, sur un pare-feu, on appelle DMZ une zone qui n'est ni publique, ni privée. [...]
C'est trop sympa de m'expliquer le concept de DMZ, merci, vraiment :-)
En prenant un peu le temps de relire mon post, tu constateras que ca n'est pas la notion de "firewall a plusieurs pattes" qui me derange (sinon, faudrait que je change de metier, je pense :-), mais bien le fait d'avoir un reseau "a 2 etages de firewalls"....
En general, surtout pour ce genre de configurations (avec VPN), il vaut mieux avoir UN firewall avec *plein* d'interfaces (enfin, autant que necessaire, quoi) plutot que 2 firewalls, parceque sinon, le second n'est pas capable de determiner si un flux arrivant sur son interface externe vient d'un tunnel VPN ou directement du grand mechant Internet....
