virtualisation et consolisation réseau - un peu HS

Le
Glennie Vignarajah
Salut,
Bon, on est pas vendredi et le topic est un peu HS, mais je me lance quand=

même: actuellement, on fait des études pour virtualiser les nos serveur=
s (cela
doit inclure la PRA). Notre réseau comprend plusieurs DMZ
* internet qui héberge les des serveurs web, relais mails DNS etc
* db : des serveurs de bases données, accessibles uniquement depuis les=

machines de la DMZ internet et des autres DMZs
* applis1 et applis2 hébergeant des applicaions web. L'accès à ces D=
MZ n'est
possibles que depuis la DMZ internet et uniquement par des reverses proxies.

* Le dernier segment réseau est notre intranet.

L'accès à chaque DMZ est filtré par des firewalls avec au moins 2 i=
nterfaces
réseaux et chaque DMZ comprend plusieurs machines


Dans le projet, on nous propose de:
* Consolider sur paire de machines virtuelles la DMZ internet.
* Sur paire de machines virtuelles les X firewalls et les reverse-proxies.
* Sur 3 machines tous les autres DMZs (y compris les machines de l'intrane=
t).
* Réorganiser les éléments réseau par 2 switchs et utiliser des vl=
ans pour
isoler les DMZ.

Y-a-t-il un risque si les firewalls/reverse-proxies sont sur une machine
virtuelles? Les VLANS sont-ils assez étanches pour proposer le même niv=
eau
d'échantité des flus réseaux qu'actuellement?

Avez-vous des retours d'expériences sur une architecture identique?

Merci de vos réponses et encore désolé pour le HS!

--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai=
l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Daniel Huhardeaux
Le #20582361
Glennie Vignarajah a écrit :
Salut,



Bonsoir
[...]
Y-a-t-il un risque si les firewalls/reverse-proxies sont sur une machine
virtuelles? Les VLANS sont-ils assez étanches pour proposer le même niveau
d'échantité des flus réseaux qu'actuellement?

Avez-vous des retours d'expériences sur une architecture identique?



firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi.
Tu ne dis pas quel est le nombre de machines réelles et combien de
machines virtuelles tournent sur chaque machine réelle.

Une solution est d'utiliser un transparent/proxy, soit en façade de
*tout* le réseau, soit en façade d'une partie du réseau. Cela permet de
rediriger des flux vers des IP privées donc inaccessibles de l' extérieur.

De même, des machines réelles peuvent accueillir les flux de certains
services (derrière ou en parallèle du transparent/proxy) et les
forwarder à des VM (hôtes ou distantes).

Dans tous les cas de figures, ne serait ce que par simplification de
maintenance, je ne ferai tourner le firewall _que_ sur la/les machine(s)
hote(s), les VM étant protégées de par leur IP privée, uniquement
vulnérables via les services fournis.

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Glennie Vignarajah
Le #20583881
Le 18/11/2009 vers 21:35, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <n o-
) a écrit:

Bonsoir



Bonjour,
Merci pour la réponse.

firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi.



OK.

Tu ne dis pas quel est le nombre de machines réelles et combien de
machines virtuelles tournent sur chaque machine réelle.



En fait, une étude d'analyse de perf est en cours. La répartition sera
décidée à l'issue de cette étude.


Une solution est d'utiliser un transparent/proxy, soit en façade de
*tout* le réseau, soit en façade d'une partie du réseau. Cela perme t de
rediriger des flux vers des IP privées donc inaccessibles de l' extér ieur.



OK.

Dans tous les cas de figures, ne serait ce que par simplification de
maintenance, je ne ferai tourner le firewall _que_ sur la/les machine(s)
hote(s),



Noté.

Que pensez-vous de l'utilisation des Vlans pour séparer les flux résea ux de
chaque DMZ au lieu d'éléments réseau dédiés?
Merci.
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Antoine Benkemoun
Le #20584281
--000e0cdfdb1e483ebf0478b4c533
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

Afin de pouvoir mettre en place des DMZ, il me parait indispensable de
mettre en place des VLAN. Je ne vois pas comment tu peux cloisonner tes
équipements autrement... Je mettrais donc un cluster de firewall afin de
pouvoir router entre les VLAN et assurer l'étanchéité interne. Puis u n autre
firewall pour gérer les entrées/sorties vers et depuis Internet ainsi q ue
l'éventuel NAT. Cette organisation permet de dissocier firewall interne e t
externe ce qui n'est pas sans intérêt je pense.

Mettre des machines de plusieurs DMZ différentes sur une même plateform e de
virtualisation peut paraitre un peu contradictoire. Le principe d'une DMZ
est de cloisonner niveau réseau des machines donc toutes les mettre sur l e
même serveur de virtualisation est un peu contradictoire. Il est cependan t
tout à fait possible de placer des VM dans différents réseaux via une
interface réseau 802.1Q (trunk chez Cisco).

Ce que je te conseille de faire c'est d'avoir une paire de serveurs de
virtualisation redondants pour tes machines de DMZ et une paire de serveurs
redondants pour tes machines non-DMZ. Ainsi, tu assures un cloisonnement
applicatif physique. Pour moi une machine DMZ est une machine à laquelle on
accède directement à partir d'Internet.

Quant à mettre des firewalls ou des reverse proxy sur des machines
virtuelles, celà ne me choque pas trop. Je pense cependant que mettre des
firewalls sur des machines de virtualisation n'est pas idéal. Mettre sur une
même machine physique l'équipement qui protège et celui à protége r, ca me
chagrine. Ca marchera cependant bien au détail près que la bande passan te de
ton interface réseau sera mutualisé pour toutes les VM, n'oublies pas. Rien
ne t'empêches d'en mettre plusieurs ceci dit.

En espérant t'avoir aidé,

Antoine

2009/11/19 Glennie Vignarajah
Le 18/11/2009 vers 21:35, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <no-
) a écrit:

> Bonsoir

Bonjour,
Merci pour la réponse.

> firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi.

OK.

> Tu ne dis pas quel est le nombre de machines réelles et combien de
> machines virtuelles tournent sur chaque machine réelle.

En fait, une étude d'analyse de perf est en cours. La réparti tion
sera
décidée à l'issue de cette étude.


> Une solution est d'utiliser un transparent/proxy, soit en façade de
> *tout* le réseau, soit en façade d'une partie du réseau. Cela per met de
> rediriger des flux vers des IP privées donc inaccessibles de l'
extérieur.

OK.

> Dans tous les cas de figures, ne serait ce que par simplification de
> maintenance, je ne ferai tourner le firewall _que_ sur la/les machine(s )
> hote(s),

Noté.

Que pensez-vous de l'utilisation des Vlans pour séparer les flux
réseaux de
chaque DMZ au lieu d'éléments réseau dédiés?
Merci.
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a
nail.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS





--000e0cdfdb1e483ebf0478b4c533
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,




Le 18/11/2009 vers 21:35, dans le message intitulé &quot;Re: virtualisati on et<br>
consolisation réseau - un peu HS&quot;, Daniel Huhardeaux(Daniel Huhardea ux &lt;no-<br>
<br>
&gt; Bonsoir<br>
<br>
Bonjour,<br>
Merci pour la réponse.<br>
<div class="im"><br>
&gt; firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi .<br>
<br>
<div class="im"><br>
&gt; Tu ne dis pas quel est le nombre de machines réelles et combien de<b r>
&gt; machines virtuelles tournent sur chaque machine réelle.<br>
<br>
décidée à l&#39;issue de cette étude.<br>
<div class="im"><br>
<br>
&gt; Une solution est d&#39;utiliser un transparent/proxy, soit en façade de<br>
&gt; *tout* le réseau, soit en façade d&#39;une partie du réseau. Cel a permet de<br>
&gt; rediriger des flux vers des IP privées donc inaccessibles de l&#39; extérieur.<br>
<br>
<div class="im"><br>
&gt; Dans tous les cas de figures, ne serait ce que par simplification de<b r>
&gt; maintenance, je ne ferai tourner le firewall _que_ sur la/les machine( s)<br>
&gt; hote(s),<br>
<br>
<br>
       Que pensez-vous de l&#39;utilisation des Vlans pour sépar er les flux réseaux de<br>
chaque DMZ au lieu d&#39;éléments réseau dédiés?<br>
Merci.<br>
<div class="im">--<br>
If the only tool you have is hammer, you tend to see every problem as a nai l.<br>
<br>
--<br>
</div><div><div></div><div class="h5">Lisez la FAQ de la liste avant de p oser une question :<br>
``spam&#39;&#39; dans vos champs &quot;From&quot; et &quot;Reply-To:&quot;< br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS <br>
</div></div></blockquote></div><br>

--000e0cdfdb1e483ebf0478b4c533--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Daniel Huhardeaux
Le #20584461
Glennie Vignarajah a écrit :
[...]

Que pensez-vous de l'utilisation des Vlans pour séparer les flux réseaux de
chaque DMZ au lieu d'éléments réseau dédiés?



Faut il cloisonner le flux ou l'equipement? Le vlan n'est pas une
mauvaise idée mais pas forcément nécessaire. Le matériel utilisé et la
BP disponible jouent également leur rôle.

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
David DUPONT
Le #20584551
Simple question, mais qu'elle système de virtualisation est prévu ?
VMWare ? Virtual Server ?
Qu'elle est le nombre de machine environ par DMZ ?

Il existe effectivement plusieurs solution.

Tu peux avoir un Cluster VMWare avec différent VLan pour séparer tes DMZ
et tu gardes la possibilité d'administrer toutes tes machines à partir
d'un point. Le problème c'est qu'après tout doit bien être documenté
pour ne pas avoir à chercher une information pendant 10 ans : )

Tu as aussi la possibilité de faire plusieurs switch virtuel sur VMWare.
C'est plus à l'appréciation de la personne qui va être en charge de
l'administration de la ferme VMware.

Si tu créé plusieurs ferme virtuel avec tes différentes DMZ dessus, il
te faudra quand même les reliés physiquement entre elle par un switch /
firewall

Que cherche tu ? La sécurité ? la facilité d'administration ? la
performance ?

Cordialement

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Glennie Vignarajah
Le #20585061
Le 19/11/2009 vers 09:46, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux < no-
) a écrit:

Bonjour,

Faut il cloisonner le flux ou l'equipement?



Le but étant remplacer tous nos switchs par 2 switchs et séparer les f lux de
chaque DMZ par des VLANS.
Intuitivement, je pense que l'utilisation des vlans pour séparer des DMZ rend
l'architecture complexe et utiliser le même équipement physique mélan geant des
réseaux dont le niveau de sécurité est différent créé un "flou" . C'est pour ça
que je souhaiterais avoir un retour d'expérience sur ce point.
A+

--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Glennie Vignarajah
Le #20585391
Le 19/11/2009 vers 09:01, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Antoine Benkemoun(Antoine Benkemoun

Bonjour,



Bonjour,
Merci pour la réponse!

Afin de pouvoir mettre en place des DMZ, il me parait indispensable de
mettre en place des VLAN. Je ne vois pas comment tu peux cloisonner tes
équipements autrement... Je mettrais donc un cluster de firewall afin de
pouvoir router entre les VLAN et assurer l'étanchéité interne.




Donc, faire transiter tous les flux des DMZs et de l'intranet par le mêm e
équipement en les séparant par des VLANS ne pose pas de problème?

Mettre des machines de plusieurs DMZ différentes sur une même platefo rme de
virtualisation peut paraitre un peu contradictoire. Le principe d'une DMZ
est de cloisonner niveau réseau des machines donc toutes les mettre sur le
même serveur de virtualisation est un peu contradictoire. Il est cepend ant
tout à fait possible de placer des VM dans différents réseaux via u ne
interface réseau 802.1Q (trunk chez Cisco).



C'est effectivement ce qui est proposé et c'est cette contraction qui me
gêne. C'est pourquoi, je souhaiterais savoir si quelqu'un a mis ça en p lace et
le niveau satisfaction par rapport des hyperviseurs sur chaque DMZ sépar és par
éléments physiques.
A+
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Daniel Huhardeaux
Le #20585561
Glennie Vignarajah a écrit :
Le 19/11/2009 vers 09:46, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <no-
) a écrit:

Bonjour,


Faut il cloisonner le flux ou l'equipement?




Le but étant remplacer tous nos switchs par 2 switchs et séparer les flux de
chaque DMZ par des VLANS.
Intuitivement, je pense que l'utilisation des vlans pour séparer des DMZ rend
l'architecture complexe et utiliser le même équipement physique mélangeant des
réseaux dont le niveau de sécurité est différent créé un "flou". C'est pour ça
que je souhaiterais avoir un retour d'expérience sur ce point.



J'utilise des vlan pour différentes applications, cela ne créé pas de
soucis. Cependant, cette utilisation n'est pas systématique et a
effectivement contre elle cette complexité, mais ceci ne doit pas être
un frein à son utilisation car les vlans rendent de grands services.


--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Glennie Vignarajah
Le #20585551
Le 19/11/2009 vers 10:56, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", David DUPONT(David DUPONT

Simple question, mais qu'elle système de virtualisation est prévu ?
VMWare ? Virtual Server ?
Qu'elle est le nombre de machine environ par DMZ ?



Vmware ou KVM selon l'état de KVM au moment du choix.

Tu peux avoir un Cluster VMWare avec différent VLan pour séparer tes DMZ
et tu gardes la possibilité d'administrer toutes tes machines à partir
d'un point. Le problème c'est qu'après tout doit bien être document é
pour ne pas avoir à chercher une information pendant 10 ans : )



OK.


Tu as aussi la possibilité de faire plusieurs switch virtuel sur VMWare.
C'est plus à l'appréciation de la personne qui va être en charge de
l'administration de la ferme VMware.



OK.

Que cherche tu ? La sécurité ? la facilité d'administration ? la
performance ?



1/ La sécurité
2/ L'admin

Pour la perf, je suppose qu'on peut faire varier le nombre de machines h ôtes
et la qualité des éléments réseaux...
A+
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Glennie Vignarajah
Le #20585711
Le 19/11/2009 vers 12:08, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux < no-
) a écrit:

J'utilise des vlan pour différentes applications, cela ne créé pas de
soucis. Cependant, cette utilisation n'est pas systématique et a
effectivement contre elle cette complexité, mais ceci ne doit pas être
un frein à son utilisation car les vlans rendent de grands services.




OK. Merci!
A+
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme