salut,
je voudrais avoir votre avis sur les différences en terme de
sécurité (s'il y en a) dans la mise en place d'une DMZ
d'administration pour une architecture de ce type (le nombre de DMZ
peut varier) :
DMZ1 DMZ3
| |
| |
internet --- Router --- FW1-------FW2----LAN Privé
| |
| |
DMZ2 DMZ4
- La première variante est de relier la DMZ Admin au FW2 uniquement :
évidement il y aura des "flux administratifs" (SSH, Syslog, SNMP et
éventuellement TSE) pour certains équipements / serveurs qui
passeront par les 2 FWs
- L'autre variante est de relier cette DMZ Admin à toutes les DMZ (des
connexions sur leurs switchs)...plus "facile" à administrer, mais
relativement moins sécurisée à mon avis.
Une question subsidiaire, qui peut dégénérer sur une autre
discussion :) est l'intérêt de mettre des cartes additionnelles au
serveurs pour créer un LAN administration à part
salut,
je voudrais avoir votre avis sur les différences en terme de
sécurité (s'il y en a) dans la mise en place d'une DMZ
d'administration pour une architecture de ce type (le nombre de DMZ
peut varier) :
DMZ1 DMZ3
| |
| |
internet --- Router --- FW1-------FW2----LAN Privé
| |
| |
DMZ2 DMZ4
- La première variante est de relier la DMZ Admin au FW2 uniquement :
évidement il y aura des "flux administratifs" (SSH, Syslog, SNMP et
éventuellement TSE) pour certains équipements / serveurs qui
passeront par les 2 FWs
- L'autre variante est de relier cette DMZ Admin à toutes les DMZ (des
connexions sur leurs switchs)...plus "facile" à administrer, mais
relativement moins sécurisée à mon avis.
Une question subsidiaire, qui peut dégénérer sur une autre
discussion :) est l'intérêt de mettre des cartes additionnelles au
serveurs pour créer un LAN administration à part
salut,
je voudrais avoir votre avis sur les différences en terme de
sécurité (s'il y en a) dans la mise en place d'une DMZ
d'administration pour une architecture de ce type (le nombre de DMZ
peut varier) :
DMZ1 DMZ3
| |
| |
internet --- Router --- FW1-------FW2----LAN Privé
| |
| |
DMZ2 DMZ4
- La première variante est de relier la DMZ Admin au FW2 uniquement :
évidement il y aura des "flux administratifs" (SSH, Syslog, SNMP et
éventuellement TSE) pour certains équipements / serveurs qui
passeront par les 2 FWs
- L'autre variante est de relier cette DMZ Admin à toutes les DMZ (des
connexions sur leurs switchs)...plus "facile" à administrer, mais
relativement moins sécurisée à mon avis.
Une question subsidiaire, qui peut dégénérer sur une autre
discussion :) est l'intérêt de mettre des cartes additionnelles au
serveurs pour créer un LAN administration à part
salut,
je voudrais avoir votre avis sur les différences en terme de
sécurité (s'il y en a) dans la mise en place d'une DMZ
d'administration pour une architecture de ce type (le nombre de DMZ
peut varier) :
DMZ1 DMZ3
| |
| |
internet --- Router --- FW1-------FW2----LAN Privé
| |
| |
DMZ2 DMZ4
- La première variante est de relier la DMZ Admin au FW2 uniquement :
évidement il y aura des "flux administratifs" (SSH, Syslog, SNMP et
éventuellement TSE) pour certains équipements / serveurs qui
passeront par les 2 FWs
- L'autre variante est de relier cette DMZ Admin à toutes les DMZ (des
connexions sur leurs switchs)...plus "facile" à administrer, mais
relativement moins sécurisée à mon avis.
Une question subsidiaire, qui peut dégénérer sur une autre
discussion :) est l'intérêt de mettre des cartes additionnelles au
serveurs pour créer un LAN administration à part
salut,
je voudrais avoir votre avis sur les différences en terme de
sécurité (s'il y en a) dans la mise en place d'une DMZ
d'administration pour une architecture de ce type (le nombre de DMZ
peut varier) :
DMZ1 DMZ3
| |
| |
internet --- Router --- FW1-------FW2----LAN Privé
| |
| |
DMZ2 DMZ4
- La première variante est de relier la DMZ Admin au FW2 uniquement :
évidement il y aura des "flux administratifs" (SSH, Syslog, SNMP et
éventuellement TSE) pour certains équipements / serveurs qui
passeront par les 2 FWs
- L'autre variante est de relier cette DMZ Admin à toutes les DMZ (des
connexions sur leurs switchs)...plus "facile" à administrer, mais
relativement moins sécurisée à mon avis.
Une question subsidiaire, qui peut dégénérer sur une autre
discussion :) est l'intérêt de mettre des cartes additionnelles au
serveurs pour créer un LAN administration à part
salut,
je voudrais avoir votre avis sur les différences en terme de
sécurité (s'il y en a) dans la mise en place d'une DMZ
d'administration pour une architecture de ce type (le nombre de DMZ
peut varier) :
DMZ1 DMZ3
| |
| |
internet --- Router --- FW1-------FW2----LAN Privé
| |
| |
DMZ2 DMZ4
- La première variante est de relier la DMZ Admin au FW2 uniquement :
évidement il y aura des "flux administratifs" (SSH, Syslog, SNMP et
éventuellement TSE) pour certains équipements / serveurs qui
passeront par les 2 FWs
- L'autre variante est de relier cette DMZ Admin à toutes les DMZ (des
connexions sur leurs switchs)...plus "facile" à administrer, mais
relativement moins sécurisée à mon avis.
Une question subsidiaire, qui peut dégénérer sur une autre
discussion :) est l'intérêt de mettre des cartes additionnelles au
serveurs pour créer un LAN administration à part
J'aurais même tendance à faire plus de séparation de sorte à
différencier les équipements qui se connecteront aux équipements
administrés (les équipements clients SSH/TSE par exemple) des
équipements aux les serveurs administrés se connectent (serveurs
Syslog/Serveurs TRAP SNMP).
J'aurais même tendance à faire plus de séparation de sorte à
différencier les équipements qui se connecteront aux équipements
administrés (les équipements clients SSH/TSE par exemple) des
équipements aux les serveurs administrés se connectent (serveurs
Syslog/Serveurs TRAP SNMP).
J'aurais même tendance à faire plus de séparation de sorte à
différencier les équipements qui se connecteront aux équipements
administrés (les équipements clients SSH/TSE par exemple) des
équipements aux les serveurs administrés se connectent (serveurs
Syslog/Serveurs TRAP SNMP).
perso je ferais partir toutes les dmz du / d'un firewall
et a partir du firewall je fais les regles adequates
perso je ferais partir toutes les dmz du / d'un firewall
et a partir du firewall je fais les regles adequates
perso je ferais partir toutes les dmz du / d'un firewall
et a partir du firewall je fais les regles adequates
salut,
je voudrais avoir votre avis sur les différences en terme de
sécurité (s'il y en a) dans la mise en place d'une DMZ
d'administrationr
pour une architecture de ce type (le nombre de DMZ
peut varier) :
DMZ1 DMZ3
| |
| |
internet --- Router --- FW1-------FW2----LAN Privé
| |
| |
DMZ2 DMZ4
Deux DMZ par firewall, ou c'est juste une maniere de voir?
- La première variante est de relier la DMZ Admin au FW2 uniquement :
évidement il y aura des "flux administratifs" (SSH, Syslog, SNMP et
éventuellement TSE) pour certains équipements / serveurs qui
passeront par les 2 FWs
- L'autre variante est de relier cette DMZ Admin à toutes les DMZ (des
connexions sur leurs switchs)...plus "facile" à administrer, mais
relativement moins sécurisée à mon avis.
Une question subsidiaire, qui peut dégénérer sur une autre
discussion :) est l'intérêt de mettre des cartes additionnelles au
serveurs pour créer un LAN administration à part
salut,
je voudrais avoir votre avis sur les différences en terme de
sécurité (s'il y en a) dans la mise en place d'une DMZ
d'administrationr
pour une architecture de ce type (le nombre de DMZ
peut varier) :
DMZ1 DMZ3
| |
| |
internet --- Router --- FW1-------FW2----LAN Privé
| |
| |
DMZ2 DMZ4
Deux DMZ par firewall, ou c'est juste une maniere de voir?
- La première variante est de relier la DMZ Admin au FW2 uniquement :
évidement il y aura des "flux administratifs" (SSH, Syslog, SNMP et
éventuellement TSE) pour certains équipements / serveurs qui
passeront par les 2 FWs
- L'autre variante est de relier cette DMZ Admin à toutes les DMZ (des
connexions sur leurs switchs)...plus "facile" à administrer, mais
relativement moins sécurisée à mon avis.
Une question subsidiaire, qui peut dégénérer sur une autre
discussion :) est l'intérêt de mettre des cartes additionnelles au
serveurs pour créer un LAN administration à part
salut,
je voudrais avoir votre avis sur les différences en terme de
sécurité (s'il y en a) dans la mise en place d'une DMZ
d'administrationr
pour une architecture de ce type (le nombre de DMZ
peut varier) :
DMZ1 DMZ3
| |
| |
internet --- Router --- FW1-------FW2----LAN Privé
| |
| |
DMZ2 DMZ4
Deux DMZ par firewall, ou c'est juste une maniere de voir?
- La première variante est de relier la DMZ Admin au FW2 uniquement :
évidement il y aura des "flux administratifs" (SSH, Syslog, SNMP et
éventuellement TSE) pour certains équipements / serveurs qui
passeront par les 2 FWs
- L'autre variante est de relier cette DMZ Admin à toutes les DMZ (des
connexions sur leurs switchs)...plus "facile" à administrer, mais
relativement moins sécurisée à mon avis.
Une question subsidiaire, qui peut dégénérer sur une autre
discussion :) est l'intérêt de mettre des cartes additionnelles au
serveurs pour créer un LAN administration à part
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Deux DMZ par firewall, ou c'est juste une maniere de voir?
Je ne suis pas persuade de l'avantage au niveau securite.
Part du principe que chacune de tes machines sera rootee un jour ou
l'autre.
Une fois que l'assaillant a la main sur une machine, il remontera
via le LAN administration vers toutes les autres machines. Et je
suis pret a parier que ce LAN administration sera ouvert en grand
pour justement faciliter l'administration.
L'ideal est d'avoir les machines a dispo proches. On peut prendre la main
en direct dessus. Pour la securite reseau, c'est le top car pour le coup
il n'y a pas de reseau.
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Deux DMZ par firewall, ou c'est juste une maniere de voir?
Je ne suis pas persuade de l'avantage au niveau securite.
Part du principe que chacune de tes machines sera rootee un jour ou
l'autre.
Une fois que l'assaillant a la main sur une machine, il remontera
via le LAN administration vers toutes les autres machines. Et je
suis pret a parier que ce LAN administration sera ouvert en grand
pour justement faciliter l'administration.
L'ideal est d'avoir les machines a dispo proches. On peut prendre la main
en direct dessus. Pour la securite reseau, c'est le top car pour le coup
il n'y a pas de reseau.
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Deux DMZ par firewall, ou c'est juste une maniere de voir?
Je ne suis pas persuade de l'avantage au niveau securite.
Part du principe que chacune de tes machines sera rootee un jour ou
l'autre.
Une fois que l'assaillant a la main sur une machine, il remontera
via le LAN administration vers toutes les autres machines. Et je
suis pret a parier que ce LAN administration sera ouvert en grand
pour justement faciliter l'administration.
L'ideal est d'avoir les machines a dispo proches. On peut prendre la main
en direct dessus. Pour la securite reseau, c'est le top car pour le coup
il n'y a pas de reseau.
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Un réseau séparé pour l'administration à distance (SSH, TSE...) et la
récupération des logs (Syslog) et trappes SNMP
un reseau plus secure en fait, pour les flux sensibles?
Deux DMZ par firewall, ou c'est juste une maniere de voir?
on peut avoir même plusieurs DMZ...Je ne suis pas persuade de l'avantage au niveau securite.
Part du principe que chacune de tes machines sera rootee un jour ou
l'autre.
Une fois que l'assaillant a la main sur une machine, il remontera
via le LAN administration vers toutes les autres machines. Et je
suis pret a parier que ce LAN administration sera ouvert en grand
pour justement faciliter l'administration.
C'est pour ça que je considère la première solution (connexion
uniquement au deuxième FW) comme plus secure. Même que mettre un
Firewall dédié pour cette zone rendra la compromission plus ardue
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
Concernant le risque d'être rootée, je crois que toute machine est
potentiellement apte à être rootée....le risque est alors fonction de
quelle machine est compromise...imagine que c'est le FW ? le proxy ?
donc tu agis en ce sens. Si dans ta DMZ chacune des machines est grande
L'ideal est d'avoir les machines a dispo proches. On peut prendre la main
en direct dessus. Pour la securite reseau, c'est le top car pour le coup
il n'y a pas de reseau.
d'acord, mais quelle solution tu préconise pour la récupération des logs
autre que localement ?
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Un réseau séparé pour l'administration à distance (SSH, TSE...) et la
récupération des logs (Syslog) et trappes SNMP
un reseau plus secure en fait, pour les flux sensibles?
Deux DMZ par firewall, ou c'est juste une maniere de voir?
on peut avoir même plusieurs DMZ...
Je ne suis pas persuade de l'avantage au niveau securite.
Part du principe que chacune de tes machines sera rootee un jour ou
l'autre.
Une fois que l'assaillant a la main sur une machine, il remontera
via le LAN administration vers toutes les autres machines. Et je
suis pret a parier que ce LAN administration sera ouvert en grand
pour justement faciliter l'administration.
C'est pour ça que je considère la première solution (connexion
uniquement au deuxième FW) comme plus secure. Même que mettre un
Firewall dédié pour cette zone rendra la compromission plus ardue
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
Concernant le risque d'être rootée, je crois que toute machine est
potentiellement apte à être rootée....le risque est alors fonction de
quelle machine est compromise...imagine que c'est le FW ? le proxy ?
donc tu agis en ce sens. Si dans ta DMZ chacune des machines est grande
L'ideal est d'avoir les machines a dispo proches. On peut prendre la main
en direct dessus. Pour la securite reseau, c'est le top car pour le coup
il n'y a pas de reseau.
d'acord, mais quelle solution tu préconise pour la récupération des logs
autre que localement ?
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Un réseau séparé pour l'administration à distance (SSH, TSE...) et la
récupération des logs (Syslog) et trappes SNMP
un reseau plus secure en fait, pour les flux sensibles?
Deux DMZ par firewall, ou c'est juste une maniere de voir?
on peut avoir même plusieurs DMZ...Je ne suis pas persuade de l'avantage au niveau securite.
Part du principe que chacune de tes machines sera rootee un jour ou
l'autre.
Une fois que l'assaillant a la main sur une machine, il remontera
via le LAN administration vers toutes les autres machines. Et je
suis pret a parier que ce LAN administration sera ouvert en grand
pour justement faciliter l'administration.
C'est pour ça que je considère la première solution (connexion
uniquement au deuxième FW) comme plus secure. Même que mettre un
Firewall dédié pour cette zone rendra la compromission plus ardue
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
Concernant le risque d'être rootée, je crois que toute machine est
potentiellement apte à être rootée....le risque est alors fonction de
quelle machine est compromise...imagine que c'est le FW ? le proxy ?
donc tu agis en ce sens. Si dans ta DMZ chacune des machines est grande
L'ideal est d'avoir les machines a dispo proches. On peut prendre la main
en direct dessus. Pour la securite reseau, c'est le top car pour le coup
il n'y a pas de reseau.
d'acord, mais quelle solution tu préconise pour la récupération des logs
autre que localement ?
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Un réseau séparé pour l'administration à distance (SSH, TSE...) et la
récupération des logs (Syslog) et trappes SNMP
un reseau plus secure en fait, pour les flux sensibles?
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
vraiment la securite.
A partir du moment ou un flux, quel qu'il soit doit passer d'un
point exterieur a une machine interieure, ce flux est a surveiller.
Si tu mets 8 firewall, ce flux devra traverser les 8 firewalls.
Pourquoi le 7e deviendrait il subitement plus secure que le 2e?
donc tu agis en ce sens. Si dans ta DMZ chacune des machines est grande
ouverte a ses voisines, ca me parait etre un risque.
Est-ce un probleme? Tu peux avoir un reseau de remontees d'alertes
(snmp,
logs)
et une autre methode pour l'administration a distance.
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Un réseau séparé pour l'administration à distance (SSH, TSE...) et la
récupération des logs (Syslog) et trappes SNMP
un reseau plus secure en fait, pour les flux sensibles?
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
vraiment la securite.
A partir du moment ou un flux, quel qu'il soit doit passer d'un
point exterieur a une machine interieure, ce flux est a surveiller.
Si tu mets 8 firewall, ce flux devra traverser les 8 firewalls.
Pourquoi le 7e deviendrait il subitement plus secure que le 2e?
donc tu agis en ce sens. Si dans ta DMZ chacune des machines est grande
ouverte a ses voisines, ca me parait etre un risque.
Est-ce un probleme? Tu peux avoir un reseau de remontees d'alertes
(snmp,
logs)
et une autre methode pour l'administration a distance.
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Un réseau séparé pour l'administration à distance (SSH, TSE...) et la
récupération des logs (Syslog) et trappes SNMP
un reseau plus secure en fait, pour les flux sensibles?
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
vraiment la securite.
A partir du moment ou un flux, quel qu'il soit doit passer d'un
point exterieur a une machine interieure, ce flux est a surveiller.
Si tu mets 8 firewall, ce flux devra traverser les 8 firewalls.
Pourquoi le 7e deviendrait il subitement plus secure que le 2e?
donc tu agis en ce sens. Si dans ta DMZ chacune des machines est grande
ouverte a ses voisines, ca me parait etre un risque.
Est-ce un probleme? Tu peux avoir un reseau de remontees d'alertes
(snmp,
logs)
et une autre methode pour l'administration a distance.
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Un réseau séparé pour l'administration à distance (SSH, TSE...) et la
récupération des logs (Syslog) et trappes SNMP
un reseau plus secure en fait, pour les flux sensibles?
en gros, je veux administrer les FWs, proxy, DNS.... à distance
et centraliser les logs de ces même machines sur un syslog centrale
Alors, je considère que ça est une zone (DMZ !) que j'ai appelé "admin"
Ok
Peut-être que c'est pas la meilleure solution ! je suis preneur de toute
proposition de autre / amélioration solution :)Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
vraiment la securite.
ça permet de se protéger d'une éventuelle compromission d'une machine
d'une des DMZ qui remontera sur la zone admin en contournant les
premiers firewalls
Fondamentalement qu'est ce qui l'empechera? Je compromets une machine
donc tu agis en ce sens. Si dans ta DMZ chacune des machines est grande
ouverte a ses voisines, ca me parait etre un risque.
le fait que deux machines soient sur le méme lan (zone) fait que c'est
"naturellement" plus risqué que si c'est séparé par un FW.....
l'idéal est de mettre chaque machine dans une DMZ :)
ou un filtrage strict sur chacune des machines. Un firewall en entree
Est-ce un probleme? Tu peux avoir un reseau de remontees d'alertes
(snmp, logs)
tu veux dire réseau séparé ? mais à un moment, il y a connexion avec les
machines des DMZ...et le fait d'avoir une interface dédiée pour
l'administration, quoique plus secure, n'isole pas "completement" .. non ?
non. Mais je reste convaincu qu'un machine qui ne propose qu'un syslogd
et une autre methode pour l'administration a distance.
par port console, série....? oui c'est mieux, mais j'ai pas encore vu de
solution libre (à la limite à moindre coût) pour sa mise en oeuvre
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Un réseau séparé pour l'administration à distance (SSH, TSE...) et la
récupération des logs (Syslog) et trappes SNMP
un reseau plus secure en fait, pour les flux sensibles?
en gros, je veux administrer les FWs, proxy, DNS.... à distance
et centraliser les logs de ces même machines sur un syslog centrale
Alors, je considère que ça est une zone (DMZ !) que j'ai appelé "admin"
Ok
Peut-être que c'est pas la meilleure solution ! je suis preneur de toute
proposition de autre / amélioration solution :)
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
vraiment la securite.
ça permet de se protéger d'une éventuelle compromission d'une machine
d'une des DMZ qui remontera sur la zone admin en contournant les
premiers firewalls
Fondamentalement qu'est ce qui l'empechera? Je compromets une machine
donc tu agis en ce sens. Si dans ta DMZ chacune des machines est grande
ouverte a ses voisines, ca me parait etre un risque.
le fait que deux machines soient sur le méme lan (zone) fait que c'est
"naturellement" plus risqué que si c'est séparé par un FW.....
l'idéal est de mettre chaque machine dans une DMZ :)
ou un filtrage strict sur chacune des machines. Un firewall en entree
Est-ce un probleme? Tu peux avoir un reseau de remontees d'alertes
(snmp, logs)
tu veux dire réseau séparé ? mais à un moment, il y a connexion avec les
machines des DMZ...et le fait d'avoir une interface dédiée pour
l'administration, quoique plus secure, n'isole pas "completement" .. non ?
non. Mais je reste convaincu qu'un machine qui ne propose qu'un syslogd
et une autre methode pour l'administration a distance.
par port console, série....? oui c'est mieux, mais j'ai pas encore vu de
solution libre (à la limite à moindre coût) pour sa mise en oeuvre
Je ne suis pas sur de bien saisir ce que tu veux dire par DMZ admin.
Un réseau séparé pour l'administration à distance (SSH, TSE...) et la
récupération des logs (Syslog) et trappes SNMP
un reseau plus secure en fait, pour les flux sensibles?
en gros, je veux administrer les FWs, proxy, DNS.... à distance
et centraliser les logs de ces même machines sur un syslog centrale
Alors, je considère que ça est une zone (DMZ !) que j'ai appelé "admin"
Ok
Peut-être que c'est pas la meilleure solution ! je suis preneur de toute
proposition de autre / amélioration solution :)Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
vraiment la securite.
ça permet de se protéger d'une éventuelle compromission d'une machine
d'une des DMZ qui remontera sur la zone admin en contournant les
premiers firewalls
Fondamentalement qu'est ce qui l'empechera? Je compromets une machine
donc tu agis en ce sens. Si dans ta DMZ chacune des machines est grande
ouverte a ses voisines, ca me parait etre un risque.
le fait que deux machines soient sur le méme lan (zone) fait que c'est
"naturellement" plus risqué que si c'est séparé par un FW.....
l'idéal est de mettre chaque machine dans une DMZ :)
ou un filtrage strict sur chacune des machines. Un firewall en entree
Est-ce un probleme? Tu peux avoir un reseau de remontees d'alertes
(snmp, logs)
tu veux dire réseau séparé ? mais à un moment, il y a connexion avec les
machines des DMZ...et le fait d'avoir une interface dédiée pour
l'administration, quoique plus secure, n'isole pas "completement" .. non ?
non. Mais je reste convaincu qu'un machine qui ne propose qu'un syslogd
et une autre methode pour l'administration a distance.
par port console, série....? oui c'est mieux, mais j'ai pas encore vu de
solution libre (à la limite à moindre coût) pour sa mise en oeuvre
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
vraiment la securite.
ça permet de se protéger d'une éventuelle compromission d'une machine
d'une des DMZ qui remontera sur la zone admin en contournant les
premiers firewalls
Fondamentalement qu'est ce qui l'empechera? Je compromets une machine
de la DMZx. Puis j'entre dans la DMZ admin. Depuis la DMZ admin, je
redescends sur chacune des DMZ. Chaque firewall doit autoriser une
machine de la DMZ admin a administrer les autres. C'est ceci qui
me pose probleme.
ou un filtrage strict sur chacune des machines. Un firewall en entree
pour separer les flux. Un sur chaque machine pour eviter qu'un voisin
vienne la chatouiller.
non. Mais je reste convaincu qu'un machine qui ne propose qu'un syslogd
depuis l'exterieur est un bastion difficile a passer.
Scenario: le pirate prend le controle d'une machine sur une DMZ. Il
rentre sur la machine syslogd. Depuis la machine syslogd il est confine
par un firewall (pas de flux sortant..). impact limite.
Une deuxieme machine sur un reseau completement separe et des cables
series/series. Je ne sais pas combien on peut brancher de port series
sur un PC ni sa facilite d'utilisation. Mais pour une interface
d'administration, le port serie reste quand meme une liaison sure. Tu
y accedes, mais la machine ne peut pas remonter a toi. Tu peux booter
en single user sans reseau pour des maj.
ok, mais je ne sais plus où j'ai vu ça...n'y a t-il pas vraiment de
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
vraiment la securite.
ça permet de se protéger d'une éventuelle compromission d'une machine
d'une des DMZ qui remontera sur la zone admin en contournant les
premiers firewalls
Fondamentalement qu'est ce qui l'empechera? Je compromets une machine
de la DMZx. Puis j'entre dans la DMZ admin. Depuis la DMZ admin, je
redescends sur chacune des DMZ. Chaque firewall doit autoriser une
machine de la DMZ admin a administrer les autres. C'est ceci qui
me pose probleme.
ou un filtrage strict sur chacune des machines. Un firewall en entree
pour separer les flux. Un sur chaque machine pour eviter qu'un voisin
vienne la chatouiller.
non. Mais je reste convaincu qu'un machine qui ne propose qu'un syslogd
depuis l'exterieur est un bastion difficile a passer.
Scenario: le pirate prend le controle d'une machine sur une DMZ. Il
rentre sur la machine syslogd. Depuis la machine syslogd il est confine
par un firewall (pas de flux sortant..). impact limite.
Une deuxieme machine sur un reseau completement separe et des cables
series/series. Je ne sais pas combien on peut brancher de port series
sur un PC ni sa facilite d'utilisation. Mais pour une interface
d'administration, le port serie reste quand meme une liaison sure. Tu
y accedes, mais la machine ne peut pas remonter a toi. Tu peux booter
en single user sans reseau pour des maj.
ok, mais je ne sais plus où j'ai vu ça...n'y a t-il pas vraiment de
Je ne crois pas non plus qu'ajouter des rideaux de firewall augmente
vraiment la securite.
ça permet de se protéger d'une éventuelle compromission d'une machine
d'une des DMZ qui remontera sur la zone admin en contournant les
premiers firewalls
Fondamentalement qu'est ce qui l'empechera? Je compromets une machine
de la DMZx. Puis j'entre dans la DMZ admin. Depuis la DMZ admin, je
redescends sur chacune des DMZ. Chaque firewall doit autoriser une
machine de la DMZ admin a administrer les autres. C'est ceci qui
me pose probleme.
ou un filtrage strict sur chacune des machines. Un firewall en entree
pour separer les flux. Un sur chaque machine pour eviter qu'un voisin
vienne la chatouiller.
non. Mais je reste convaincu qu'un machine qui ne propose qu'un syslogd
depuis l'exterieur est un bastion difficile a passer.
Scenario: le pirate prend le controle d'une machine sur une DMZ. Il
rentre sur la machine syslogd. Depuis la machine syslogd il est confine
par un firewall (pas de flux sortant..). impact limite.
Une deuxieme machine sur un reseau completement separe et des cables
series/series. Je ne sais pas combien on peut brancher de port series
sur un PC ni sa facilite d'utilisation. Mais pour une interface
d'administration, le port serie reste quand meme une liaison sure. Tu
y accedes, mais la machine ne peut pas remonter a toi. Tu peux booter
en single user sans reseau pour des maj.
ok, mais je ne sais plus où j'ai vu ça...n'y a t-il pas vraiment de
