Actuellement tous mes serveurs (SQL, WEB, FTP sous Win2K) sont
hebergés dans une baie et chaque serveur a sa propre IP publique sans
firewall ...
J'ai donc décidé de changer cela mais je n'y connais pas grand chose.
J'ai donc repris ce que j'ai glané ici ou là sur le Net et je pense
que l'architecture idéale (sécuritaire mais que j'ai une chance de
pouvoir gérer sans vrais est la suivante :
http://mforum.chez.tiscali.fr/images/Wan1.gif
Ce que je ne comprend pas c'est comment je fais pour : ??
- Me connecter à distance depuis mes bureaux pour administrer mes
serveurs qui n'ont pas d'adresses publiques ?
- Est-ce que les serveurs web doivent avoir une adresse Ip publique
et aussi une adresse ip locale ?
Par ailleurs ...
Actuellement mes serveurs utilisent environ 5 Mbits de bande passante
et il y a environ 1200 connexions simultannées. Je pense donc mettre
comme firewall un Cisco Pix 515, une FireBoox X500 ou un NetSreen 50.
Une préférence ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
RAKOTOMALALA Renaud
Bonjour,
[../..]
Ce que je ne comprend pas c'est comment je fais pour : ?? - Me connecter à distance depuis mes bureaux pour administrer mes serveurs qui n'ont pas d'adresses publiques ?
Deux solutions 1. tu te connectes sur un de tes frontaux applicatifs (dans ta dmz) et ensuite celà te permet d'atteindre les dites machines
Attention c'est pire que tout, puisque cela implique d'autoriser le flux entre ta dmz et ton réseau protégé ce qui est d'un point de vue securité pur très mauvais, puisque par definition si ta dmz est compromise ta zone securisée le sera aussi (ou pourra l'être plus facilement).
2. Met en place un firewall capable de gérer des VPN (une une machine ayant une ip PUBLIQUE très protégée et dont la seule fonction est la gestion des VPN), ensuite tu te connectes via un tunnel VPN (tu as grandement le choix dans ce domaine, du simple ppp over ssh au plus élaboré tel que IPSEC) puis tu routes le trafic en IP local via se tunnel jusqu'à ta zone securisée.
Attention je te suggère de faire appel à quelqu'un de compétent si tu ne possèdes pas toi même ces compétences.
- Est-ce que les serveurs web doivent avoir une adresse Ip publique et aussi une adresse ip locale ?
Tout dépend de leurs interactions avec ta zone securisée.
Par ailleurs ... Actuellement mes serveurs utilisent environ 5 Mbits de bande passante et il y a environ 1200 connexions simultannées. Je pense donc mettre comme firewall un Cisco Pix 515, une FireBoox X500 ou un NetSreen 50. Une préférence ?
Ce que je ne comprend pas c'est comment je fais pour : ??
- Me connecter à distance depuis mes bureaux pour administrer mes
serveurs qui n'ont pas d'adresses publiques ?
Deux solutions
1. tu te connectes sur un de tes frontaux applicatifs (dans ta dmz) et
ensuite celà te permet d'atteindre les dites machines
Attention c'est pire que tout, puisque cela implique d'autoriser le flux
entre ta dmz et ton réseau protégé ce qui est d'un point de vue securité
pur très mauvais, puisque par definition si ta dmz est compromise ta
zone securisée le sera aussi (ou pourra l'être plus facilement).
2. Met en place un firewall capable de gérer des VPN (une une machine
ayant une ip PUBLIQUE très protégée et dont la seule fonction est la
gestion des VPN), ensuite tu te connectes via un tunnel VPN (tu as
grandement le choix dans ce domaine, du simple ppp over ssh au plus
élaboré tel que IPSEC) puis tu routes le trafic en IP local via se
tunnel jusqu'à ta zone securisée.
Attention je te suggère de faire appel à quelqu'un de compétent si tu ne
possèdes pas toi même ces compétences.
- Est-ce que les serveurs web doivent avoir une adresse Ip publique
et aussi une adresse ip locale ?
Tout dépend de leurs interactions avec ta zone securisée.
Par ailleurs ...
Actuellement mes serveurs utilisent environ 5 Mbits de bande passante
et il y a environ 1200 connexions simultannées. Je pense donc mettre
comme firewall un Cisco Pix 515, une FireBoox X500 ou un NetSreen 50.
Une préférence ?
Ce que je ne comprend pas c'est comment je fais pour : ?? - Me connecter à distance depuis mes bureaux pour administrer mes serveurs qui n'ont pas d'adresses publiques ?
Deux solutions 1. tu te connectes sur un de tes frontaux applicatifs (dans ta dmz) et ensuite celà te permet d'atteindre les dites machines
Attention c'est pire que tout, puisque cela implique d'autoriser le flux entre ta dmz et ton réseau protégé ce qui est d'un point de vue securité pur très mauvais, puisque par definition si ta dmz est compromise ta zone securisée le sera aussi (ou pourra l'être plus facilement).
2. Met en place un firewall capable de gérer des VPN (une une machine ayant une ip PUBLIQUE très protégée et dont la seule fonction est la gestion des VPN), ensuite tu te connectes via un tunnel VPN (tu as grandement le choix dans ce domaine, du simple ppp over ssh au plus élaboré tel que IPSEC) puis tu routes le trafic en IP local via se tunnel jusqu'à ta zone securisée.
Attention je te suggère de faire appel à quelqu'un de compétent si tu ne possèdes pas toi même ces compétences.
- Est-ce que les serveurs web doivent avoir une adresse Ip publique et aussi une adresse ip locale ?
Tout dépend de leurs interactions avec ta zone securisée.
Par ailleurs ... Actuellement mes serveurs utilisent environ 5 Mbits de bande passante et il y a environ 1200 connexions simultannées. Je pense donc mettre comme firewall un Cisco Pix 515, une FireBoox X500 ou un NetSreen 50. Une préférence ?
On Fri, 30 Apr 2004 17:54:15 +0200, RAKOTOMALALA Renaud
Ce que je ne comprend pas c'est comment je fais pour : ?? - Me connecter à distance depuis mes bureaux pour administrer mes serveurs qui n'ont pas d'adresses publiques ?
Deux solutions 1. tu te connectes sur un de tes frontaux applicatifs (dans ta dmz) et ensuite celà te permet d'atteindre les dites machines
Attention c'est pire que tout, puisque cela implique d'autoriser le flux entre ta dmz et ton réseau protégé ce qui est d'un point de vue securité pur très mauvais, puisque par definition si ta dmz est compromise ta zone securisée le sera aussi (ou pourra l'être plus facilement).
Alors la je ne comprends plus ... Si je ma DMZ n'est pas relié à ma zone protégé, alors mes serveurs web ne pourront pas intérroger mes serveurs SQL ... Non ?
2. Met en place un firewall capable de gérer des VPN (une une machine ayant une ip PUBLIQUE très protégée et dont la seule fonction est la gestion des VPN), ensuite tu te connectes via un tunnel VPN (tu as grandement le choix dans ce domaine, du simple ppp over ssh au plus élaboré tel que IPSEC) puis tu routes le trafic en IP local via se tunnel jusqu'à ta zone securisée.
Les firewall cités précedemment peuvent faire cela en IPSEC ???
Attention je te suggère de faire appel à quelqu'un de compétent si tu ne possèdes pas toi même ces compétences.
Seul probleme ... mon budget total pour ajouter un firewall est proche de 3000 et c'est déjà le prix de la machine .. Je vais devoir mettre les mains à la pate !
Merci !
On Fri, 30 Apr 2004 17:54:15 +0200, RAKOTOMALALA Renaud
Ce que je ne comprend pas c'est comment je fais pour : ??
- Me connecter à distance depuis mes bureaux pour administrer mes
serveurs qui n'ont pas d'adresses publiques ?
Deux solutions
1. tu te connectes sur un de tes frontaux applicatifs (dans ta dmz) et
ensuite celà te permet d'atteindre les dites machines
Attention c'est pire que tout, puisque cela implique d'autoriser le flux
entre ta dmz et ton réseau protégé ce qui est d'un point de vue securité
pur très mauvais, puisque par definition si ta dmz est compromise ta
zone securisée le sera aussi (ou pourra l'être plus facilement).
Alors la je ne comprends plus ... Si je ma DMZ n'est pas relié à ma
zone protégé, alors mes serveurs web ne pourront pas intérroger mes
serveurs SQL ... Non ?
2. Met en place un firewall capable de gérer des VPN (une une machine
ayant une ip PUBLIQUE très protégée et dont la seule fonction est la
gestion des VPN), ensuite tu te connectes via un tunnel VPN (tu as
grandement le choix dans ce domaine, du simple ppp over ssh au plus
élaboré tel que IPSEC) puis tu routes le trafic en IP local via se
tunnel jusqu'à ta zone securisée.
Les firewall cités précedemment peuvent faire cela en IPSEC ???
Attention je te suggère de faire appel à quelqu'un de compétent si tu ne
possèdes pas toi même ces compétences.
Seul probleme ... mon budget total pour ajouter un firewall est proche
de 3000 et c'est déjà le prix de la machine ..
Je vais devoir mettre les mains à la pate !
On Fri, 30 Apr 2004 17:54:15 +0200, RAKOTOMALALA Renaud
Ce que je ne comprend pas c'est comment je fais pour : ?? - Me connecter à distance depuis mes bureaux pour administrer mes serveurs qui n'ont pas d'adresses publiques ?
Deux solutions 1. tu te connectes sur un de tes frontaux applicatifs (dans ta dmz) et ensuite celà te permet d'atteindre les dites machines
Attention c'est pire que tout, puisque cela implique d'autoriser le flux entre ta dmz et ton réseau protégé ce qui est d'un point de vue securité pur très mauvais, puisque par definition si ta dmz est compromise ta zone securisée le sera aussi (ou pourra l'être plus facilement).
Alors la je ne comprends plus ... Si je ma DMZ n'est pas relié à ma zone protégé, alors mes serveurs web ne pourront pas intérroger mes serveurs SQL ... Non ?
2. Met en place un firewall capable de gérer des VPN (une une machine ayant une ip PUBLIQUE très protégée et dont la seule fonction est la gestion des VPN), ensuite tu te connectes via un tunnel VPN (tu as grandement le choix dans ce domaine, du simple ppp over ssh au plus élaboré tel que IPSEC) puis tu routes le trafic en IP local via se tunnel jusqu'à ta zone securisée.
Les firewall cités précedemment peuvent faire cela en IPSEC ???
Attention je te suggère de faire appel à quelqu'un de compétent si tu ne possèdes pas toi même ces compétences.
Seul probleme ... mon budget total pour ajouter un firewall est proche de 3000 et c'est déjà le prix de la machine .. Je vais devoir mettre les mains à la pate !
Merci !
RAKOTOMALALA Renaud
Deux solutions 1. tu te connectes sur un de tes frontaux applicatifs (dans ta dmz) et ensuite celà te permet d'atteindre les dites machines
Attention c'est pire que tout, puisque cela implique d'autoriser le flux entre ta dmz et ton réseau protégé ce qui est d'un point de vue securité pur très mauvais, puisque par definition si ta dmz est compromise ta zone securisée le sera aussi (ou pourra l'être plus facilement).
Alors la je ne comprends plus ... Si je ma DMZ n'est pas relié à ma zone protégé, alors mes serveurs web ne pourront pas intérroger mes serveurs SQL ... Non ?
A mons avis tu mélanges plusieurs conceptes.
Une dmz est une zone protéger mais en libre accès de l'exterieur. Le but de cette dmz est que seule les machines dans cette zone sont accessible de l'exterieur, ce qui en terme de sécurité informatique est qualifié de risque.
En générale la zone sécurisé ne contient pas de serveur de production, mais des serveurs contenant des informations confidentielles et/ou le réseau interne d'une société (si c'etait le cas).
En effet ton architecture ne tient plus la route (d'un point de vue securité) si tu as un lien direct entre ta dmz et ta zone securisé, en effet si une machine de ta dmz fut compromise, alors l'intrus aurait tout loisir de remonter le file jusqu'à ta zone sécurisé.
Bien entendu tout dépend de comment on qualifie la sécurisation d'un réseau, et là biensur j'ai repondu de manière généraliste.
Mais à la vue de ta reponse je pense que le but est de minimiser les risques, plus que d'avoir une sécurité en betond qui te compliquerait trop la vie ...
De ce fait la solution 1 peut convenir, et il faudra simplement de concentrer sur la securisation des machines de la DMZ.
Le mieux en la matière, c'est de degager tous les serveurs dans ta zone securisé et de ne mettre dans ta DMZ que des frontaux proxy (car moins la machine cible est complexe, plus il est facile de la securisé) dont le but est de relayer les reliers ta DMZ à ta zone sécurisé avecu n mandataire suffisament bien protégé.
Donc dans la solution 1 tu as deux choix de topologie:
1.1 mettre une adresse locale a tes machines en DMZ (serveurs web si j'ai bien compris) afin qu'ils soient en mesure de contacter les serveurs applicatifs dans la zone sécurisé
1.2 mettre tes serveurs Web dans ta zone sécurisé (donc sql + applicatif + web tout en IP locale) et mettre simplement des frontaux "proxy" dans ta dmz agissant comme mandataire entre Internet et ta zone sécurisé. (attention à la protection de tes applications, car dans ce schema l'attaque sera probablement mené sur le terrain applicatif et non réseau)
2. Met en place un firewall capable de gérer des VPN (une une machine ayant une ip PUBLIQUE très protégée et dont la seule fonction est la gestion des VPN), ensuite tu te connectes via un tunnel VPN (tu as grandement le choix dans ce domaine, du simple ppp over ssh au plus élaboré tel que IPSEC) puis tu routes le trafic en IP local via se tunnel jusqu'à ta zone securisée.
Les firewall cités précedemment peuvent faire cela en IPSEC ???
Aucune idée, il faut regarder de plus pret et j'avoue que je préfère être rémunéré pour ça :)
Attention je te suggère de faire appel à quelqu'un de compétent si tu ne possèdes pas toi même ces compétences.
Seul probleme ... mon budget total pour ajouter un firewall est proche de 3000 et c'est déjà le prix de la machine .. Je vais devoir mettre les mains à la pate !
Tout dépend de la machine choisie, 5 Mbps ce n'est pas beaucoup en soi et un BSD (tout comme un linux d'ailleurs) sera parfaitement apte à remplir cette fonction pour beaucoup moins chère que 3000 Euros, par contre monter une mauvaise architecture pourra te couter (si tu représentes le clients) ou couter à ton client très chère si c'est mal réaliser.
La sécurité informatique, tout comme l'informatique de manière générale est compréhensible par un grand nombre de personne, mais il ne faut pas confondre comprendre et savoir faire :)
Deux solutions
1. tu te connectes sur un de tes frontaux applicatifs (dans ta dmz) et
ensuite celà te permet d'atteindre les dites machines
Attention c'est pire que tout, puisque cela implique d'autoriser le flux
entre ta dmz et ton réseau protégé ce qui est d'un point de vue securité
pur très mauvais, puisque par definition si ta dmz est compromise ta
zone securisée le sera aussi (ou pourra l'être plus facilement).
Alors la je ne comprends plus ... Si je ma DMZ n'est pas relié à ma
zone protégé, alors mes serveurs web ne pourront pas intérroger mes
serveurs SQL ... Non ?
A mons avis tu mélanges plusieurs conceptes.
Une dmz est une zone protéger mais en libre accès de l'exterieur. Le but
de cette dmz est que seule les machines dans cette zone sont accessible
de l'exterieur, ce qui en terme de sécurité informatique est qualifié de
risque.
En générale la zone sécurisé ne contient pas de serveur de production,
mais des serveurs contenant des informations confidentielles et/ou le
réseau interne d'une société (si c'etait le cas).
En effet ton architecture ne tient plus la route (d'un point de vue
securité) si tu as un lien direct entre ta dmz et ta zone securisé, en
effet si une machine de ta dmz fut compromise, alors l'intrus aurait
tout loisir de remonter le file jusqu'à ta zone sécurisé.
Bien entendu tout dépend de comment on qualifie la sécurisation d'un
réseau, et là biensur j'ai repondu de manière généraliste.
Mais à la vue de ta reponse je pense que le but est de minimiser les
risques, plus que d'avoir une sécurité en betond qui te compliquerait
trop la vie ...
De ce fait la solution 1 peut convenir, et il faudra simplement de
concentrer sur la securisation des machines de la DMZ.
Le mieux en la matière, c'est de degager tous les serveurs dans ta zone
securisé et de ne mettre dans ta DMZ que des frontaux proxy (car moins
la machine cible est complexe, plus il est facile de la securisé) dont
le but est de relayer les reliers ta DMZ à ta zone sécurisé avecu n
mandataire suffisament bien protégé.
Donc dans la solution 1 tu as deux choix de topologie:
1.1 mettre une adresse locale a tes machines en DMZ (serveurs web si
j'ai bien compris) afin qu'ils soient en mesure de contacter les
serveurs applicatifs dans la zone sécurisé
1.2 mettre tes serveurs Web dans ta zone sécurisé (donc sql + applicatif
+ web tout en IP locale) et mettre simplement des frontaux "proxy" dans
ta dmz agissant comme mandataire entre Internet et ta zone sécurisé.
(attention à la protection de tes applications, car dans ce schema
l'attaque sera probablement mené sur le terrain applicatif et non réseau)
2. Met en place un firewall capable de gérer des VPN (une une machine
ayant une ip PUBLIQUE très protégée et dont la seule fonction est la
gestion des VPN), ensuite tu te connectes via un tunnel VPN (tu as
grandement le choix dans ce domaine, du simple ppp over ssh au plus
élaboré tel que IPSEC) puis tu routes le trafic en IP local via se
tunnel jusqu'à ta zone securisée.
Les firewall cités précedemment peuvent faire cela en IPSEC ???
Aucune idée, il faut regarder de plus pret et j'avoue que je préfère
être rémunéré pour ça :)
Attention je te suggère de faire appel à quelqu'un de compétent si tu ne
possèdes pas toi même ces compétences.
Seul probleme ... mon budget total pour ajouter un firewall est proche
de 3000 et c'est déjà le prix de la machine ..
Je vais devoir mettre les mains à la pate !
Tout dépend de la machine choisie, 5 Mbps ce n'est pas beaucoup en soi
et un BSD (tout comme un linux d'ailleurs) sera parfaitement apte à
remplir cette fonction pour beaucoup moins chère que 3000 Euros, par
contre monter une mauvaise architecture pourra te couter (si tu
représentes le clients) ou couter à ton client très chère si c'est mal
réaliser.
La sécurité informatique, tout comme l'informatique de manière générale
est compréhensible par un grand nombre de personne, mais il ne faut pas
confondre comprendre et savoir faire :)
Deux solutions 1. tu te connectes sur un de tes frontaux applicatifs (dans ta dmz) et ensuite celà te permet d'atteindre les dites machines
Attention c'est pire que tout, puisque cela implique d'autoriser le flux entre ta dmz et ton réseau protégé ce qui est d'un point de vue securité pur très mauvais, puisque par definition si ta dmz est compromise ta zone securisée le sera aussi (ou pourra l'être plus facilement).
Alors la je ne comprends plus ... Si je ma DMZ n'est pas relié à ma zone protégé, alors mes serveurs web ne pourront pas intérroger mes serveurs SQL ... Non ?
A mons avis tu mélanges plusieurs conceptes.
Une dmz est une zone protéger mais en libre accès de l'exterieur. Le but de cette dmz est que seule les machines dans cette zone sont accessible de l'exterieur, ce qui en terme de sécurité informatique est qualifié de risque.
En générale la zone sécurisé ne contient pas de serveur de production, mais des serveurs contenant des informations confidentielles et/ou le réseau interne d'une société (si c'etait le cas).
En effet ton architecture ne tient plus la route (d'un point de vue securité) si tu as un lien direct entre ta dmz et ta zone securisé, en effet si une machine de ta dmz fut compromise, alors l'intrus aurait tout loisir de remonter le file jusqu'à ta zone sécurisé.
Bien entendu tout dépend de comment on qualifie la sécurisation d'un réseau, et là biensur j'ai repondu de manière généraliste.
Mais à la vue de ta reponse je pense que le but est de minimiser les risques, plus que d'avoir une sécurité en betond qui te compliquerait trop la vie ...
De ce fait la solution 1 peut convenir, et il faudra simplement de concentrer sur la securisation des machines de la DMZ.
Le mieux en la matière, c'est de degager tous les serveurs dans ta zone securisé et de ne mettre dans ta DMZ que des frontaux proxy (car moins la machine cible est complexe, plus il est facile de la securisé) dont le but est de relayer les reliers ta DMZ à ta zone sécurisé avecu n mandataire suffisament bien protégé.
Donc dans la solution 1 tu as deux choix de topologie:
1.1 mettre une adresse locale a tes machines en DMZ (serveurs web si j'ai bien compris) afin qu'ils soient en mesure de contacter les serveurs applicatifs dans la zone sécurisé
1.2 mettre tes serveurs Web dans ta zone sécurisé (donc sql + applicatif + web tout en IP locale) et mettre simplement des frontaux "proxy" dans ta dmz agissant comme mandataire entre Internet et ta zone sécurisé. (attention à la protection de tes applications, car dans ce schema l'attaque sera probablement mené sur le terrain applicatif et non réseau)
2. Met en place un firewall capable de gérer des VPN (une une machine ayant une ip PUBLIQUE très protégée et dont la seule fonction est la gestion des VPN), ensuite tu te connectes via un tunnel VPN (tu as grandement le choix dans ce domaine, du simple ppp over ssh au plus élaboré tel que IPSEC) puis tu routes le trafic en IP local via se tunnel jusqu'à ta zone securisée.
Les firewall cités précedemment peuvent faire cela en IPSEC ???
Aucune idée, il faut regarder de plus pret et j'avoue que je préfère être rémunéré pour ça :)
Attention je te suggère de faire appel à quelqu'un de compétent si tu ne possèdes pas toi même ces compétences.
Seul probleme ... mon budget total pour ajouter un firewall est proche de 3000 et c'est déjà le prix de la machine .. Je vais devoir mettre les mains à la pate !
Tout dépend de la machine choisie, 5 Mbps ce n'est pas beaucoup en soi et un BSD (tout comme un linux d'ailleurs) sera parfaitement apte à remplir cette fonction pour beaucoup moins chère que 3000 Euros, par contre monter une mauvaise architecture pourra te couter (si tu représentes le clients) ou couter à ton client très chère si c'est mal réaliser.
La sécurité informatique, tout comme l'informatique de manière générale est compréhensible par un grand nombre de personne, mais il ne faut pas confondre comprendre et savoir faire :)
