Je suis en train de réfléchir pour mettre en place un Firewall avec 3 pattes
: Internet, DMZ, LAN (interne). Je m'adresse à vous car il y a 2 points pour
lesquels je ne trouve pas trop d'informations.
* Base de donnée:
Dans la DMZ, je prévois de mettre un serveur WEB avec une application
interrogeant une base de donnée. Cette BDD doit également être interrogée
par une application située dans le LAN.
- puis-je faire cela avec une seule BDD
- si oui, où dois-je la mettre ? Dans la DMZ ? Mais alors, elle ne me semble
pas trop protégée, s'il y a intrusion dans la DMZ. Ou alors, je la met dans
le LAN. Il faut alors ouvrir le Firewall sur un port donnée pour qu'elle
soit interrogée depuis la DMZ, et ouvrir le Firewall en entrant (DMZ ==>
LAN), ça ne me semble pas non plus très sécurité
- si non, quelle autre solution ?
* VPN:
Là, j'ai moins de connaissance, je ne connais le VPN que par son nom et le
principe. Dans mon architecture réseau ci-dessus, je veux donner un accès au
LAN depuis Internet via VPN.
- Comment puis-je faire cela ?
- Puis-je m'en sortir avec de la translation de port (ou d'adresse) ? Mais
je ne suis pas sûr que le VPN fonctionne sur un port donné
- Me faut-il avoir un soft spécial sur le Firewall ?
- Dans ce cas, est-ce sécurite ?
Merci pour vos avis, remarques, et liens Internet éventuels !
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
JMA
Salut Xavier,
Pour ta question de DMZ, il n y a pas de solution miracle a mon avis mais tu pourrais avoir 4 pattes dans ton setup: Internet, DMZ, DMZ-DB & LAN disons 192.168. Ton web server dans la DMZ, la DB dans la DMZ-DB. Tu peux meme avoir ta DMZ en public ou NATe mais toujours garder ta DMZ-DB en prive genre 172.16. (different du LAN) En general de ce que j'ai vu, c'est mieux d'avoir une DMZ a part pour les DB, donc a mettre 3 pattes autant acheter une carte quad :D
Concernant le VPN, de nombreuses possibilites existent, si tu penches pour du non-commercial, tu peux opter pour des solutions simples comme openvpn (vpn ssl) qui permette de passer des problemes de FW qui bloquent certains ports lorsque une personne est dans un hotel ou autre (generalement le web n'est pas bloque ;) . Sinon, il reste des solutions plus solides comme IPSEC (strongswan/openswan) ou CIPE mais ca va te demander de la config un peu plus pointue :)
En esperant t'etre utile,
JM
Xavier wrote:
Bonjour,
Je suis en train de riflichir pour mettre en place un Firewall avec 3 pattes : Internet, DMZ, LAN (interne). Je m'adresse ` vous car il y a 2 points pour lesquels je ne trouve pas trop d'informations.
* Base de donnie: Dans la DMZ, je privois de mettre un serveur WEB avec une application interrogeant une base de donnie. Cette BDD doit igalement jtre interrogie par une application situie dans le LAN. - puis-je faire cela avec une seule BDD - si oui, oy dois-je la mettre ? Dans la DMZ ? Mais alors, elle ne me semble pas trop protigie, s'il y a intrusion dans la DMZ. Ou alors, je la met dans le LAN. Il faut alors ouvrir le Firewall sur un port donnie pour qu'elle soit interrogie depuis la DMZ, et ouvrir le Firewall en entrant (DMZ ==> LAN), ga ne me semble pas non plus trhs sicuriti - si non, quelle autre solution ?
* VPN: L`, j'ai moins de connaissance, je ne connais le VPN que par son nom et le principe. Dans mon architecture riseau ci-dessus, je veux donner un acchs au LAN depuis Internet via VPN. - Comment puis-je faire cela ? - Puis-je m'en sortir avec de la translation de port (ou d'adresse) ? Mais je ne suis pas s{r que le VPN fonctionne sur un port donni - Me faut-il avoir un soft spicial sur le Firewall ? - Dans ce cas, est-ce sicurite ?
Merci pour vos avis, remarques, et liens Internet iventuels !
Xavier
Salut Xavier,
Pour ta question de DMZ, il n y a pas de solution miracle a mon avis
mais tu pourrais avoir 4 pattes dans ton setup: Internet, DMZ, DMZ-DB &
LAN disons 192.168. Ton web server dans la DMZ, la DB dans la DMZ-DB.
Tu peux meme avoir ta DMZ en public ou NATe mais toujours garder ta
DMZ-DB en prive genre 172.16. (different du LAN)
En general de ce que j'ai vu, c'est mieux d'avoir une DMZ a part pour
les DB, donc a mettre 3 pattes autant acheter une carte quad :D
Concernant le VPN, de nombreuses possibilites existent, si tu penches
pour du non-commercial, tu peux opter pour des solutions simples comme
openvpn (vpn ssl) qui permette de passer des problemes de FW qui
bloquent certains ports lorsque une personne est dans un hotel ou autre
(generalement le web n'est pas bloque ;) . Sinon, il reste des
solutions plus solides comme IPSEC (strongswan/openswan) ou CIPE mais
ca va te demander de la config un peu plus pointue :)
En esperant t'etre utile,
JM
Xavier wrote:
Bonjour,
Je suis en train de riflichir pour mettre en place un Firewall avec 3
pattes : Internet, DMZ, LAN (interne). Je m'adresse ` vous car il y a
2 points pour lesquels je ne trouve pas trop d'informations.
* Base de donnie:
Dans la DMZ, je privois de mettre un serveur WEB avec une application
interrogeant une base de donnie. Cette BDD doit igalement jtre
interrogie par une application situie dans le LAN.
- puis-je faire cela avec une seule BDD
- si oui, oy dois-je la mettre ? Dans la DMZ ? Mais alors, elle ne me
semble pas trop protigie, s'il y a intrusion dans la DMZ. Ou alors,
je la met dans le LAN. Il faut alors ouvrir le Firewall sur un port
donnie pour qu'elle soit interrogie depuis la DMZ, et ouvrir le
Firewall en entrant (DMZ ==> LAN), ga ne me semble pas non plus trhs
sicuriti - si non, quelle autre solution ?
* VPN:
L`, j'ai moins de connaissance, je ne connais le VPN que par son nom
et le principe. Dans mon architecture riseau ci-dessus, je veux
donner un acchs au LAN depuis Internet via VPN.
- Comment puis-je faire cela ?
- Puis-je m'en sortir avec de la translation de port (ou d'adresse) ?
Mais je ne suis pas s{r que le VPN fonctionne sur un port donni
- Me faut-il avoir un soft spicial sur le Firewall ?
- Dans ce cas, est-ce sicurite ?
Merci pour vos avis, remarques, et liens Internet iventuels !
Pour ta question de DMZ, il n y a pas de solution miracle a mon avis mais tu pourrais avoir 4 pattes dans ton setup: Internet, DMZ, DMZ-DB & LAN disons 192.168. Ton web server dans la DMZ, la DB dans la DMZ-DB. Tu peux meme avoir ta DMZ en public ou NATe mais toujours garder ta DMZ-DB en prive genre 172.16. (different du LAN) En general de ce que j'ai vu, c'est mieux d'avoir une DMZ a part pour les DB, donc a mettre 3 pattes autant acheter une carte quad :D
Concernant le VPN, de nombreuses possibilites existent, si tu penches pour du non-commercial, tu peux opter pour des solutions simples comme openvpn (vpn ssl) qui permette de passer des problemes de FW qui bloquent certains ports lorsque une personne est dans un hotel ou autre (generalement le web n'est pas bloque ;) . Sinon, il reste des solutions plus solides comme IPSEC (strongswan/openswan) ou CIPE mais ca va te demander de la config un peu plus pointue :)
En esperant t'etre utile,
JM
Xavier wrote:
Bonjour,
Je suis en train de riflichir pour mettre en place un Firewall avec 3 pattes : Internet, DMZ, LAN (interne). Je m'adresse ` vous car il y a 2 points pour lesquels je ne trouve pas trop d'informations.
* Base de donnie: Dans la DMZ, je privois de mettre un serveur WEB avec une application interrogeant une base de donnie. Cette BDD doit igalement jtre interrogie par une application situie dans le LAN. - puis-je faire cela avec une seule BDD - si oui, oy dois-je la mettre ? Dans la DMZ ? Mais alors, elle ne me semble pas trop protigie, s'il y a intrusion dans la DMZ. Ou alors, je la met dans le LAN. Il faut alors ouvrir le Firewall sur un port donnie pour qu'elle soit interrogie depuis la DMZ, et ouvrir le Firewall en entrant (DMZ ==> LAN), ga ne me semble pas non plus trhs sicuriti - si non, quelle autre solution ?
* VPN: L`, j'ai moins de connaissance, je ne connais le VPN que par son nom et le principe. Dans mon architecture riseau ci-dessus, je veux donner un acchs au LAN depuis Internet via VPN. - Comment puis-je faire cela ? - Puis-je m'en sortir avec de la translation de port (ou d'adresse) ? Mais je ne suis pas s{r que le VPN fonctionne sur un port donni - Me faut-il avoir un soft spicial sur le Firewall ? - Dans ce cas, est-ce sicurite ?
Merci pour vos avis, remarques, et liens Internet iventuels !
Xavier
Xavier
Salut JM,
Merci pour ta réponse.
Pour ta question de DMZ, il n y a pas de solution miracle a mon avis mais tu pourrais avoir 4 pattes dans ton setup: Internet, DMZ, DMZ-DB & LAN disons 192.168. Ton web server dans la DMZ, la DB dans la DMZ-DB. Tu peux meme avoir ta DMZ en public ou NATe mais toujours garder ta DMZ-DB en prive genre 172.16. (different du LAN) En general de ce que j'ai vu, c'est mieux d'avoir une DMZ a part pour les DB, donc a mettre 3 pattes autant acheter une carte quad :D
OK, je note cette solution d'une DMZ supplémentaire
Concernant le VPN, de nombreuses possibilites existent, si tu penches pour du non-commercial, tu peux opter pour des solutions simples comme openvpn (vpn ssl) qui permette de passer des problemes de FW qui bloquent certains ports lorsque une personne est dans un hotel ou autre (generalement le web n'est pas bloque ;) . Sinon, il reste des solutions plus solides comme IPSEC (strongswan/openswan) ou CIPE mais ca va te demander de la config un peu plus pointue :)
J'avais une piste vers OpenVPN, mais je n'en sais pas plus. Sais-tu s'il faut l'installer sur le FW ? Ou puis-je le mettre sur mon LAN et passer le FW ?
Merci
Xavier
En esperant t'etre utile,
JM
Xavier wrote:
Bonjour,
Je suis en train de riflichir pour mettre en place un Firewall avec 3 pattes : Internet, DMZ, LAN (interne). Je m'adresse ` vous car il y a 2 points pour lesquels je ne trouve pas trop d'informations.
* Base de donnie: Dans la DMZ, je privois de mettre un serveur WEB avec une application interrogeant une base de donnie. Cette BDD doit igalement jtre interrogie par une application situie dans le LAN. - puis-je faire cela avec une seule BDD - si oui, oy dois-je la mettre ? Dans la DMZ ? Mais alors, elle ne me semble pas trop protigie, s'il y a intrusion dans la DMZ. Ou alors, je la met dans le LAN. Il faut alors ouvrir le Firewall sur un port donnie pour qu'elle soit interrogie depuis la DMZ, et ouvrir le Firewall en entrant (DMZ ==> LAN), ga ne me semble pas non plus trhs sicuriti - si non, quelle autre solution ?
* VPN: L`, j'ai moins de connaissance, je ne connais le VPN que par son nom et le principe. Dans mon architecture riseau ci-dessus, je veux donner un acchs au LAN depuis Internet via VPN. - Comment puis-je faire cela ? - Puis-je m'en sortir avec de la translation de port (ou d'adresse) ? Mais je ne suis pas s{r que le VPN fonctionne sur un port donni - Me faut-il avoir un soft spicial sur le Firewall ? - Dans ce cas, est-ce sicurite ?
Merci pour vos avis, remarques, et liens Internet iventuels !
Xavier
Salut JM,
Merci pour ta réponse.
Pour ta question de DMZ, il n y a pas de solution miracle a mon avis
mais tu pourrais avoir 4 pattes dans ton setup: Internet, DMZ, DMZ-DB &
LAN disons 192.168. Ton web server dans la DMZ, la DB dans la DMZ-DB.
Tu peux meme avoir ta DMZ en public ou NATe mais toujours garder ta
DMZ-DB en prive genre 172.16. (different du LAN)
En general de ce que j'ai vu, c'est mieux d'avoir une DMZ a part pour
les DB, donc a mettre 3 pattes autant acheter une carte quad :D
OK, je note cette solution d'une DMZ supplémentaire
Concernant le VPN, de nombreuses possibilites existent, si tu penches
pour du non-commercial, tu peux opter pour des solutions simples comme
openvpn (vpn ssl) qui permette de passer des problemes de FW qui
bloquent certains ports lorsque une personne est dans un hotel ou autre
(generalement le web n'est pas bloque ;) . Sinon, il reste des
solutions plus solides comme IPSEC (strongswan/openswan) ou CIPE mais
ca va te demander de la config un peu plus pointue :)
J'avais une piste vers OpenVPN, mais je n'en sais pas plus. Sais-tu s'il
faut l'installer sur le FW ? Ou puis-je le mettre sur mon LAN et passer le
FW ?
Merci
Xavier
En esperant t'etre utile,
JM
Xavier wrote:
Bonjour,
Je suis en train de riflichir pour mettre en place un Firewall avec 3
pattes : Internet, DMZ, LAN (interne). Je m'adresse ` vous car il y a
2 points pour lesquels je ne trouve pas trop d'informations.
* Base de donnie:
Dans la DMZ, je privois de mettre un serveur WEB avec une application
interrogeant une base de donnie. Cette BDD doit igalement jtre
interrogie par une application situie dans le LAN.
- puis-je faire cela avec une seule BDD
- si oui, oy dois-je la mettre ? Dans la DMZ ? Mais alors, elle ne me
semble pas trop protigie, s'il y a intrusion dans la DMZ. Ou alors,
je la met dans le LAN. Il faut alors ouvrir le Firewall sur un port
donnie pour qu'elle soit interrogie depuis la DMZ, et ouvrir le
Firewall en entrant (DMZ ==> LAN), ga ne me semble pas non plus trhs
sicuriti - si non, quelle autre solution ?
* VPN:
L`, j'ai moins de connaissance, je ne connais le VPN que par son nom
et le principe. Dans mon architecture riseau ci-dessus, je veux
donner un acchs au LAN depuis Internet via VPN.
- Comment puis-je faire cela ?
- Puis-je m'en sortir avec de la translation de port (ou d'adresse) ?
Mais je ne suis pas s{r que le VPN fonctionne sur un port donni
- Me faut-il avoir un soft spicial sur le Firewall ?
- Dans ce cas, est-ce sicurite ?
Merci pour vos avis, remarques, et liens Internet iventuels !
Pour ta question de DMZ, il n y a pas de solution miracle a mon avis mais tu pourrais avoir 4 pattes dans ton setup: Internet, DMZ, DMZ-DB & LAN disons 192.168. Ton web server dans la DMZ, la DB dans la DMZ-DB. Tu peux meme avoir ta DMZ en public ou NATe mais toujours garder ta DMZ-DB en prive genre 172.16. (different du LAN) En general de ce que j'ai vu, c'est mieux d'avoir une DMZ a part pour les DB, donc a mettre 3 pattes autant acheter une carte quad :D
OK, je note cette solution d'une DMZ supplémentaire
Concernant le VPN, de nombreuses possibilites existent, si tu penches pour du non-commercial, tu peux opter pour des solutions simples comme openvpn (vpn ssl) qui permette de passer des problemes de FW qui bloquent certains ports lorsque une personne est dans un hotel ou autre (generalement le web n'est pas bloque ;) . Sinon, il reste des solutions plus solides comme IPSEC (strongswan/openswan) ou CIPE mais ca va te demander de la config un peu plus pointue :)
J'avais une piste vers OpenVPN, mais je n'en sais pas plus. Sais-tu s'il faut l'installer sur le FW ? Ou puis-je le mettre sur mon LAN et passer le FW ?
Merci
Xavier
En esperant t'etre utile,
JM
Xavier wrote:
Bonjour,
Je suis en train de riflichir pour mettre en place un Firewall avec 3 pattes : Internet, DMZ, LAN (interne). Je m'adresse ` vous car il y a 2 points pour lesquels je ne trouve pas trop d'informations.
* Base de donnie: Dans la DMZ, je privois de mettre un serveur WEB avec une application interrogeant une base de donnie. Cette BDD doit igalement jtre interrogie par une application situie dans le LAN. - puis-je faire cela avec une seule BDD - si oui, oy dois-je la mettre ? Dans la DMZ ? Mais alors, elle ne me semble pas trop protigie, s'il y a intrusion dans la DMZ. Ou alors, je la met dans le LAN. Il faut alors ouvrir le Firewall sur un port donnie pour qu'elle soit interrogie depuis la DMZ, et ouvrir le Firewall en entrant (DMZ ==> LAN), ga ne me semble pas non plus trhs sicuriti - si non, quelle autre solution ?
* VPN: L`, j'ai moins de connaissance, je ne connais le VPN que par son nom et le principe. Dans mon architecture riseau ci-dessus, je veux donner un acchs au LAN depuis Internet via VPN. - Comment puis-je faire cela ? - Puis-je m'en sortir avec de la translation de port (ou d'adresse) ? Mais je ne suis pas s{r que le VPN fonctionne sur un port donni - Me faut-il avoir un soft spicial sur le Firewall ? - Dans ce cas, est-ce sicurite ?
Merci pour vos avis, remarques, et liens Internet iventuels !
