Question securite, que pensez vous de mettre deux réseaux (un LAN et
une DMZ) sur le même switch ?
Ces deux réseaux accèdent par une paserelle commune à internet. Ils
sont chacun reliés à la paserelle sur des cartes réseaux différentes
via un switch (donc deux switches, un pour chaque réseaux) comme sur
le shema ci-dessous
Sachant que le switch fonctionne avec les adresses MAC et sachant que
le LAN et la DMZ ont des adresses/netmask différentes, est-il possible
de raccorder les deux cables partant de la paserelle sur un switch
unique et de raccorder l'ensemble des machines du LAN et de la DMZ sur
le reste des ports du switch, comme ci-dessous
Le switch n'est pas manageable et fait de l'auto-apprentissage des
adresses MAC au fur à mesure des connexions. Ma question n'est pas
axée charge réseau mais plutôt sécurité.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Caron
Salut,
On 30 Dec 2003 22:27:03 GMT, Var Log wrote:
Question securite, que pensez vous de mettre deux réseaux (un LAN et une DMZ) sur le même switch ?
Pas de problème s'il y a des VLANs, et à condition bien entendu qu'il ne soit pas possible de modifier la configuration du switch à partir de la DMZ. Sinon, c'est une mauvaise idée.
Sachant que le switch fonctionne avec les adresses MAC et sachant que le LAN et la DMZ ont des adresses/netmask différentes, est-il possible de raccorder les deux cables partant de la paserelle sur un switch unique et de raccorder l'ensemble des machines du LAN et de la DMZ sur le reste des ports du switch, comme ci-dessous
Le switch n'est pas manageable et fait de l'auto-apprentissage des adresses MAC au fur à mesure des connexions. Ma question n'est pas axée charge réseau mais plutôt sécurité.
Le problème dans ce cas, c'est qu'en cas de compromission d'une machine sur la DMZ (c'est le scénario dont on essaie de se protéger avec une DMZ), l'attaquant peut facilement reconfigurer les adresses IP sur la machine compromise, et hop, il a accès à tout le LAN. Et même sans ça, il peut probablement s'amuser à quelques autres attaques, en particulier en déni de service, qui affecteront le LAN.
Donc, au minimum VLANs, sinon, switches séparés.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Salut,
On 30 Dec 2003 22:27:03 GMT, Var Log <varlog2002@yahoo.fr> wrote:
Question securite, que pensez vous de mettre deux réseaux (un LAN et
une DMZ) sur le même switch ?
Pas de problème s'il y a des VLANs, et à condition bien entendu qu'il ne
soit pas possible de modifier la configuration du switch à partir de la
DMZ. Sinon, c'est une mauvaise idée.
Sachant que le switch fonctionne avec les adresses MAC et sachant que
le LAN et la DMZ ont des adresses/netmask différentes, est-il possible
de raccorder les deux cables partant de la paserelle sur un switch
unique et de raccorder l'ensemble des machines du LAN et de la DMZ sur
le reste des ports du switch, comme ci-dessous
Le switch n'est pas manageable et fait de l'auto-apprentissage des
adresses MAC au fur à mesure des connexions. Ma question n'est pas
axée charge réseau mais plutôt sécurité.
Le problème dans ce cas, c'est qu'en cas de compromission d'une machine
sur la DMZ (c'est le scénario dont on essaie de se protéger avec une DMZ),
l'attaquant peut facilement reconfigurer les adresses IP sur la machine
compromise, et hop, il a accès à tout le LAN. Et même sans ça, il peut
probablement s'amuser à quelques autres attaques, en particulier en déni
de service, qui affecteront le LAN.
Donc, au minimum VLANs, sinon, switches séparés.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Question securite, que pensez vous de mettre deux réseaux (un LAN et une DMZ) sur le même switch ?
Pas de problème s'il y a des VLANs, et à condition bien entendu qu'il ne soit pas possible de modifier la configuration du switch à partir de la DMZ. Sinon, c'est une mauvaise idée.
Sachant que le switch fonctionne avec les adresses MAC et sachant que le LAN et la DMZ ont des adresses/netmask différentes, est-il possible de raccorder les deux cables partant de la paserelle sur un switch unique et de raccorder l'ensemble des machines du LAN et de la DMZ sur le reste des ports du switch, comme ci-dessous
Le switch n'est pas manageable et fait de l'auto-apprentissage des adresses MAC au fur à mesure des connexions. Ma question n'est pas axée charge réseau mais plutôt sécurité.
Le problème dans ce cas, c'est qu'en cas de compromission d'une machine sur la DMZ (c'est le scénario dont on essaie de se protéger avec une DMZ), l'attaquant peut facilement reconfigurer les adresses IP sur la machine compromise, et hop, il a accès à tout le LAN. Et même sans ça, il peut probablement s'amuser à quelques autres attaques, en particulier en déni de service, qui affecteront le LAN.
Donc, au minimum VLANs, sinon, switches séparés.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Nicob
On Tue, 30 Dec 2003 22:27:03 +0000, Var Log wrote:
Question securite, que pensez vous de mettre deux réseaux (un LAN et une DMZ) sur le même switch ?
Déjà que sur un switch gérant les VLAN, ça me fait mal au c*l de mettre plusieurs réseaux sur le même équipement :(
Dans ton cas, il suffira à un attaquant présent en DMZ de changer son IP pour atteindre le réseau interne (enfin, si j'ai bien compris ta description du problème). Pas terrible, comme sécurité ...
Nicob
On Tue, 30 Dec 2003 22:27:03 +0000, Var Log wrote:
Question securite, que pensez vous de mettre deux réseaux (un LAN et une
DMZ) sur le même switch ?
Déjà que sur un switch gérant les VLAN, ça me fait mal au c*l de
mettre plusieurs réseaux sur le même équipement :(
Dans ton cas, il suffira à un attaquant présent en DMZ de changer son
IP pour atteindre le réseau interne (enfin, si j'ai bien compris ta
description du problème). Pas terrible, comme sécurité ...
On Tue, 30 Dec 2003 22:27:03 +0000, Var Log wrote:
Question securite, que pensez vous de mettre deux réseaux (un LAN et une DMZ) sur le même switch ?
Déjà que sur un switch gérant les VLAN, ça me fait mal au c*l de mettre plusieurs réseaux sur le même équipement :(
Dans ton cas, il suffira à un attaquant présent en DMZ de changer son IP pour atteindre le réseau interne (enfin, si j'ai bien compris ta description du problème). Pas terrible, comme sécurité ...
Nicob
manu
Var Log wrote:
Question securite, que pensez vous de mettre deux réseaux (un LAN et une DMZ) sur le même switch ? (snip)
Le switch n'est pas manageable et fait de l'auto-apprentissage des adresses MAC au fur à mesure des connexions. Ma question n'est pas axée charge réseau mais plutôt sécurité.
Ben niveau sécurité, ca vaut pas un clou, puisqu'une fois un serveur de DMZ compromis, il peut jouer comme il veut avec les machines du LAN, étant sur le même brin d'ethernet.
-- Emmanuel Dreyfus Un bouquin en français sur BSD: http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Var Log <varlog2002@yahoo.fr> wrote:
Question securite, que pensez vous de mettre deux réseaux (un LAN et
une DMZ) sur le même switch ?
(snip)
Le switch n'est pas manageable et fait de l'auto-apprentissage des
adresses MAC au fur à mesure des connexions. Ma question n'est pas
axée charge réseau mais plutôt sécurité.
Ben niveau sécurité, ca vaut pas un clou, puisqu'une fois un serveur de
DMZ compromis, il peut jouer comme il veut avec les machines du LAN,
étant sur le même brin d'ethernet.
--
Emmanuel Dreyfus
Un bouquin en français sur BSD:
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu@netbsd.org
Question securite, que pensez vous de mettre deux réseaux (un LAN et une DMZ) sur le même switch ? (snip)
Le switch n'est pas manageable et fait de l'auto-apprentissage des adresses MAC au fur à mesure des connexions. Ma question n'est pas axée charge réseau mais plutôt sécurité.
Ben niveau sécurité, ca vaut pas un clou, puisqu'une fois un serveur de DMZ compromis, il peut jouer comme il veut avec les machines du LAN, étant sur le même brin d'ethernet.
-- Emmanuel Dreyfus Un bouquin en français sur BSD: http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
CubJ3L4H
Emmanuel Dreyfus wrote:
Var Log wrote:
Question securite, que pensez vous de mettre deux réseaux (un LAN et une DMZ) sur le même switch ?
(snip)
Le switch n'est pas manageable et fait de l'auto-apprentissage des adresses MAC au fur à mesure des connexions. Ma question n'est pas axée charge réseau mais plutôt sécurité.
Ben niveau sécurité, ca vaut pas un clou, puisqu'une fois un serveur de DMZ compromis, il peut jouer comme il veut avec les machines du LAN, étant sur le même brin d'ethernet.
yop et se méfier aussi dans le cas de la solution VLAn des switches qui
une fois plus ou moins saturés font carrément sauter les vlan en permettant le "hopping".
Cub.
Emmanuel Dreyfus wrote:
Var Log <varlog2002@yahoo.fr> wrote:
Question securite, que pensez vous de mettre deux réseaux (un LAN et
une DMZ) sur le même switch ?
(snip)
Le switch n'est pas manageable et fait de l'auto-apprentissage des
adresses MAC au fur à mesure des connexions. Ma question n'est pas
axée charge réseau mais plutôt sécurité.
Ben niveau sécurité, ca vaut pas un clou, puisqu'une fois un serveur de
DMZ compromis, il peut jouer comme il veut avec les machines du LAN,
étant sur le même brin d'ethernet.
yop et se méfier aussi dans le cas de la solution VLAn des switches qui
une fois plus ou moins saturés font carrément sauter les vlan en
permettant le "hopping".
Question securite, que pensez vous de mettre deux réseaux (un LAN et une DMZ) sur le même switch ?
(snip)
Le switch n'est pas manageable et fait de l'auto-apprentissage des adresses MAC au fur à mesure des connexions. Ma question n'est pas axée charge réseau mais plutôt sécurité.
Ben niveau sécurité, ca vaut pas un clou, puisqu'une fois un serveur de DMZ compromis, il peut jouer comme il veut avec les machines du LAN, étant sur le même brin d'ethernet.
yop et se méfier aussi dans le cas de la solution VLAn des switches qui
une fois plus ou moins saturés font carrément sauter les vlan en permettant le "hopping".
Cub.
manu
Nicob wrote:
Déjà que sur un switch gérant les VLAN, ça me fait mal au c*l de mettre plusieurs réseaux sur le même équipement :(
Ah ben je suis content de constater que je ne suis pas le seul à n'avoir aucune confiance en l'implementation des VLAN dans les switches.
-- Emmanuel Dreyfus A lire: 240 pages en français sur l'administration UNIX avec BSD http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Nicob <nicob@I.hate.spammers.com> wrote:
Déjà que sur un switch gérant les VLAN, ça me fait mal au c*l de
mettre plusieurs réseaux sur le même équipement :(
Ah ben je suis content de constater que je ne suis pas le seul à n'avoir
aucune confiance en l'implementation des VLAN dans les switches.
--
Emmanuel Dreyfus
A lire: 240 pages en français sur l'administration UNIX avec BSD
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu@netbsd.org
Déjà que sur un switch gérant les VLAN, ça me fait mal au c*l de mettre plusieurs réseaux sur le même équipement :(
Ah ben je suis content de constater que je ne suis pas le seul à n'avoir aucune confiance en l'implementation des VLAN dans les switches.
-- Emmanuel Dreyfus A lire: 240 pages en français sur l'administration UNIX avec BSD http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Alain Thivillon
Emmanuel Dreyfus wrote:
Nicob wrote:
Déjà que sur un switch gérant les VLAN, ça me fait mal au c*l de mettre plusieurs réseaux sur le même équipement :(
Ah ben je suis content de constater que je ne suis pas le seul à n'avoir aucune confiance en l'implementation des VLAN dans les switches.
Je dois etre un peu trop vieux alors pour faire ce métier, mais moi je ne vois pas en quoi faire du VLAN statique par port pose un problème de sécurité. En tout cas tant qu'on m'a pas démontré le contraire dans la vraie vie avec des vrais switches utilisés et configurés par des vrais gens sur des vrais réseaux avec des vrais serveurs.
A un moment il faut arreter la parano et les discussions sans fin et regarder un peu ce qui est pratique à faire. Quand tu veux faire un firewall avec 8 DMZ pour pas trop cher, soit tu fais des Vlans et tu réussi a tout faire tenir sur deux ou 4 interfaces physiques, soit tu laisse tomber et tu fais des compromis parce que de toute façon le client voudra jamais mettre 8 switches pour 10 ou 12 machines ni payer le modele +++ de l'appliance juste pour ça.
Enfin voila :)
-- Nom d'un chat de nom d'un chat !
Emmanuel Dreyfus <manu@netbsd.org> wrote:
Nicob <nicob@I.hate.spammers.com> wrote:
Déjà que sur un switch gérant les VLAN, ça me fait mal au c*l de
mettre plusieurs réseaux sur le même équipement :(
Ah ben je suis content de constater que je ne suis pas le seul à n'avoir
aucune confiance en l'implementation des VLAN dans les switches.
Je dois etre un peu trop vieux alors pour faire ce métier, mais moi je
ne vois pas en quoi faire du VLAN statique par port pose un problème de
sécurité. En tout cas tant qu'on m'a pas démontré le contraire dans la
vraie vie avec des vrais switches utilisés et configurés par des vrais
gens sur des vrais réseaux avec des vrais serveurs.
A un moment il faut arreter la parano et les discussions sans fin et
regarder un peu ce qui est pratique à faire. Quand tu veux faire un
firewall avec 8 DMZ pour pas trop cher, soit tu fais des Vlans et tu
réussi a tout faire tenir sur deux ou 4 interfaces physiques, soit tu
laisse tomber et tu fais des compromis parce que de toute façon le
client voudra jamais mettre 8 switches pour 10 ou 12 machines ni payer
le modele +++ de l'appliance juste pour ça.
Déjà que sur un switch gérant les VLAN, ça me fait mal au c*l de mettre plusieurs réseaux sur le même équipement :(
Ah ben je suis content de constater que je ne suis pas le seul à n'avoir aucune confiance en l'implementation des VLAN dans les switches.
Je dois etre un peu trop vieux alors pour faire ce métier, mais moi je ne vois pas en quoi faire du VLAN statique par port pose un problème de sécurité. En tout cas tant qu'on m'a pas démontré le contraire dans la vraie vie avec des vrais switches utilisés et configurés par des vrais gens sur des vrais réseaux avec des vrais serveurs.
A un moment il faut arreter la parano et les discussions sans fin et regarder un peu ce qui est pratique à faire. Quand tu veux faire un firewall avec 8 DMZ pour pas trop cher, soit tu fais des Vlans et tu réussi a tout faire tenir sur deux ou 4 interfaces physiques, soit tu laisse tomber et tu fais des compromis parce que de toute façon le client voudra jamais mettre 8 switches pour 10 ou 12 machines ni payer le modele +++ de l'appliance juste pour ça.
Enfin voila :)
-- Nom d'un chat de nom d'un chat !
varlog2002
Merci pour vos réponses, j'y vois un peu plus clair: je retiens que c'est techniquement possible mais risqué.
Cependant j'ai encore quelques questions sur le sujet. D'après vos réponses le risque est l'obtention d'une IP du LAN par une machine de la DMZ qui aurait été compromise. Il faut d'abord que l'attaquant en DMZ soit capable de connaitre les IP du LAN (ce qui ne doit pas être super compliqué...). Avec un paserelle linux+netfilter pour communiquer entre les deux VLANs, est-ce qu'il n'est pas possible de binder l'adresse IP et l'adresse MAC des machines afin d'éviter qu'une machine de la DMZ ne puisse communiquer avec le LAN (mais je récupère l'IP du switch ou l'IP des machines) ?
Merci. VarLog
Merci pour vos réponses, j'y vois un peu plus clair: je retiens que
c'est techniquement possible mais risqué.
Cependant j'ai encore quelques questions sur le sujet.
D'après vos réponses le risque est l'obtention d'une IP du LAN par une
machine de la DMZ qui aurait été compromise.
Il faut d'abord que l'attaquant en DMZ soit capable de connaitre les
IP du LAN (ce qui ne doit pas être super compliqué...).
Avec un paserelle linux+netfilter pour communiquer entre les deux
VLANs, est-ce qu'il n'est pas possible de binder l'adresse IP et
l'adresse MAC des machines afin d'éviter qu'une machine de la DMZ ne
puisse communiquer avec le LAN (mais je récupère l'IP du switch ou
l'IP des machines) ?
Merci pour vos réponses, j'y vois un peu plus clair: je retiens que c'est techniquement possible mais risqué.
Cependant j'ai encore quelques questions sur le sujet. D'après vos réponses le risque est l'obtention d'une IP du LAN par une machine de la DMZ qui aurait été compromise. Il faut d'abord que l'attaquant en DMZ soit capable de connaitre les IP du LAN (ce qui ne doit pas être super compliqué...). Avec un paserelle linux+netfilter pour communiquer entre les deux VLANs, est-ce qu'il n'est pas possible de binder l'adresse IP et l'adresse MAC des machines afin d'éviter qu'une machine de la DMZ ne puisse communiquer avec le LAN (mais je récupère l'IP du switch ou l'IP des machines) ?
Merci. VarLog
manu
Alain Thivillon wrote:
Je dois etre un peu trop vieux alors pour faire ce métier, mais moi je ne vois pas en quoi faire du VLAN statique par port pose un problème de sécurité. En tout cas tant qu'on m'a pas démontré le contraire dans la vraie vie avec des vrais switches utilisés et configurés par des vrais gens sur des vrais réseaux avec des vrais serveurs.
Ben disons que à mesure que le temps passe, j'ai une confiance de plus en plus limitée en ce qui se passe dans les switches. Tous les logiciels contiennent des bugs, on le sait. Le switch contient de plus en plus de logiciel, donc forcement de plus en plus de bugs (j'en ai maintenant un certain nombre qui plantent de temps en temps). En plus, la plupart des modèles ne sont pas mettable à jour, on fait donc vraiment de la sécurité par obscurité, en esperant que tout va bien maintenant et que tout ira bien ad vitam. Je ne nie pas que ca a un sens de le faire, le risque zero n'existant de toute façon pas. Mais ca n'interdit pas de se poser des questions.
A un moment il faut arreter la parano et les discussions sans fin et regarder un peu ce qui est pratique à faire. Quand tu veux faire un firewall avec 8 DMZ pour pas trop cher, soit tu fais des Vlans et tu réussi a tout faire tenir sur deux ou 4 interfaces physiques, soit tu laisse tomber et tu fais des compromis parce que de toute façon le client voudra jamais mettre 8 switches pour 10 ou 12 machines ni payer le modele +++ de l'appliance juste pour ça.
C'est ammusant, tu n'envisages même pas que je pourrais être en même temps decisionnaire sur le plan technique et budgetaire. Deformation professionnelle? :o)
Cela dit, evidemment dans le cas que tu décris, faut economiser 7 switches. Mais la situation ideale, ca serait quand même de construire des serveurs suffisament sécurisés pour qu'on puisse les mettre l'un à coté de l'autre sur la même DMZ sans avoir froid dans le dos. Tu sais, le genre seuls les ports correspondant à des services utilisés sont en écoute, etc... Je te l'accorde, souvent difficile à mettre en oeuvre, à cause de protocoles pénibles, ou d'implémentations pénibles (par exemple, faire taire le port 135 sur un Windows XP, c'est dur).
-- Emmanuel Dreyfus Publicité subliminale: achetez ce livre! http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Alain Thivillon <at@rominet.net> wrote:
Je dois etre un peu trop vieux alors pour faire ce métier, mais moi je
ne vois pas en quoi faire du VLAN statique par port pose un problème de
sécurité. En tout cas tant qu'on m'a pas démontré le contraire dans la
vraie vie avec des vrais switches utilisés et configurés par des vrais
gens sur des vrais réseaux avec des vrais serveurs.
Ben disons que à mesure que le temps passe, j'ai une confiance de plus
en plus limitée en ce qui se passe dans les switches. Tous les logiciels
contiennent des bugs, on le sait. Le switch contient de plus en plus de
logiciel, donc forcement de plus en plus de bugs (j'en ai maintenant un
certain nombre qui plantent de temps en temps). En plus, la plupart des
modèles ne sont pas mettable à jour, on fait donc vraiment de la
sécurité par obscurité, en esperant que tout va bien maintenant et que
tout ira bien ad vitam. Je ne nie pas que ca a un sens de le faire, le
risque zero n'existant de toute façon pas. Mais ca n'interdit pas de se
poser des questions.
A un moment il faut arreter la parano et les discussions sans fin et
regarder un peu ce qui est pratique à faire. Quand tu veux faire un
firewall avec 8 DMZ pour pas trop cher, soit tu fais des Vlans et tu
réussi a tout faire tenir sur deux ou 4 interfaces physiques, soit tu
laisse tomber et tu fais des compromis parce que de toute façon le
client voudra jamais mettre 8 switches pour 10 ou 12 machines ni payer
le modele +++ de l'appliance juste pour ça.
C'est ammusant, tu n'envisages même pas que je pourrais être en même
temps decisionnaire sur le plan technique et budgetaire. Deformation
professionnelle? :o)
Cela dit, evidemment dans le cas que tu décris, faut economiser 7
switches. Mais la situation ideale, ca serait quand même de construire
des serveurs suffisament sécurisés pour qu'on puisse les mettre l'un à
coté de l'autre sur la même DMZ sans avoir froid dans le dos. Tu sais,
le genre seuls les ports correspondant à des services utilisés sont en
écoute, etc... Je te l'accorde, souvent difficile à mettre en oeuvre, à
cause de protocoles pénibles, ou d'implémentations pénibles (par
exemple, faire taire le port 135 sur un Windows XP, c'est dur).
--
Emmanuel Dreyfus
Publicité subliminale: achetez ce livre!
http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
manu@netbsd.org
Je dois etre un peu trop vieux alors pour faire ce métier, mais moi je ne vois pas en quoi faire du VLAN statique par port pose un problème de sécurité. En tout cas tant qu'on m'a pas démontré le contraire dans la vraie vie avec des vrais switches utilisés et configurés par des vrais gens sur des vrais réseaux avec des vrais serveurs.
Ben disons que à mesure que le temps passe, j'ai une confiance de plus en plus limitée en ce qui se passe dans les switches. Tous les logiciels contiennent des bugs, on le sait. Le switch contient de plus en plus de logiciel, donc forcement de plus en plus de bugs (j'en ai maintenant un certain nombre qui plantent de temps en temps). En plus, la plupart des modèles ne sont pas mettable à jour, on fait donc vraiment de la sécurité par obscurité, en esperant que tout va bien maintenant et que tout ira bien ad vitam. Je ne nie pas que ca a un sens de le faire, le risque zero n'existant de toute façon pas. Mais ca n'interdit pas de se poser des questions.
A un moment il faut arreter la parano et les discussions sans fin et regarder un peu ce qui est pratique à faire. Quand tu veux faire un firewall avec 8 DMZ pour pas trop cher, soit tu fais des Vlans et tu réussi a tout faire tenir sur deux ou 4 interfaces physiques, soit tu laisse tomber et tu fais des compromis parce que de toute façon le client voudra jamais mettre 8 switches pour 10 ou 12 machines ni payer le modele +++ de l'appliance juste pour ça.
C'est ammusant, tu n'envisages même pas que je pourrais être en même temps decisionnaire sur le plan technique et budgetaire. Deformation professionnelle? :o)
Cela dit, evidemment dans le cas que tu décris, faut economiser 7 switches. Mais la situation ideale, ca serait quand même de construire des serveurs suffisament sécurisés pour qu'on puisse les mettre l'un à coté de l'autre sur la même DMZ sans avoir froid dans le dos. Tu sais, le genre seuls les ports correspondant à des services utilisés sont en écoute, etc... Je te l'accorde, souvent difficile à mettre en oeuvre, à cause de protocoles pénibles, ou d'implémentations pénibles (par exemple, faire taire le port 135 sur un Windows XP, c'est dur).
-- Emmanuel Dreyfus Publicité subliminale: achetez ce livre! http://www.eyrolles.com/php.informatique/Ouvrages/9782212112443.php3
Jacques Caron
On 02 Jan 2004 17:22:57 GMT, Var Log wrote:
Merci pour vos réponses, j'y vois un peu plus clair: je retiens que c'est techniquement possible mais risqué.
C'est à peu près aussi possible que mettre directement les serveurs dans le LAN, sans DMZ (un peu comme ce que certains routeurs bas de gamme appellent une DMZ, d'ailleurs): on y perd tout l'intérêt de la DMZ, donc autant pas se fatiguer et faire quelques économies... [je parle du cas switch unique, sans VLANs]
D'après vos réponses le risque est l'obtention d'une IP du LAN par une machine de la DMZ qui aurait été compromise. Il faut d'abord que l'attaquant en DMZ soit capable de connaitre les IP du LAN (ce qui ne doit pas être super compliqué...).
C'est même très simple, puisqu'au minimum on récupère tous les broadcasts ARP...
Avec un paserelle linux+netfilter pour communiquer entre les deux VLANs, est-ce qu'il n'est pas possible de binder l'adresse IP et l'adresse MAC des machines afin d'éviter qu'une machine de la DMZ ne puisse communiquer avec le LAN (mais je récupère l'IP du switch ou l'IP des machines) ?
Rien compris. On est dans quel scénario, là? Switches séparés, switches connectés avec VLANs, ou switches connectés avec VLANs? A partir du moment où il y a des VLANs (ou des switches séparés), le trafic entre les deux réseaux passe par le firewall (ou ce qui en tient lieu), qui ne doit laisser passer que le trafic utile et nécessaire (normalement, ça va être des requêtes SQL sur une base de données, quelque chose du genre). Enfin, le principe d'une DMZ, quoi.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On 02 Jan 2004 17:22:57 GMT, Var Log <varlog2002@yahoo.fr> wrote:
Merci pour vos réponses, j'y vois un peu plus clair: je retiens que
c'est techniquement possible mais risqué.
C'est à peu près aussi possible que mettre directement les serveurs dans
le LAN, sans DMZ (un peu comme ce que certains routeurs bas de gamme
appellent une DMZ, d'ailleurs): on y perd tout l'intérêt de la DMZ, donc
autant pas se fatiguer et faire quelques économies... [je parle du cas
switch unique, sans VLANs]
D'après vos réponses le risque est l'obtention d'une IP du LAN par une
machine de la DMZ qui aurait été compromise.
Il faut d'abord que l'attaquant en DMZ soit capable de connaitre les
IP du LAN (ce qui ne doit pas être super compliqué...).
C'est même très simple, puisqu'au minimum on récupère tous les broadcasts
ARP...
Avec un paserelle linux+netfilter pour communiquer entre les deux
VLANs, est-ce qu'il n'est pas possible de binder l'adresse IP et
l'adresse MAC des machines afin d'éviter qu'une machine de la DMZ ne
puisse communiquer avec le LAN (mais je récupère l'IP du switch ou
l'IP des machines) ?
Rien compris. On est dans quel scénario, là? Switches séparés, switches
connectés avec VLANs, ou switches connectés avec VLANs? A partir du moment
où il y a des VLANs (ou des switches séparés), le trafic entre les deux
réseaux passe par le firewall (ou ce qui en tient lieu), qui ne doit
laisser passer que le trafic utile et nécessaire (normalement, ça va être
des requêtes SQL sur une base de données, quelque chose du genre). Enfin,
le principe d'une DMZ, quoi.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Merci pour vos réponses, j'y vois un peu plus clair: je retiens que c'est techniquement possible mais risqué.
C'est à peu près aussi possible que mettre directement les serveurs dans le LAN, sans DMZ (un peu comme ce que certains routeurs bas de gamme appellent une DMZ, d'ailleurs): on y perd tout l'intérêt de la DMZ, donc autant pas se fatiguer et faire quelques économies... [je parle du cas switch unique, sans VLANs]
D'après vos réponses le risque est l'obtention d'une IP du LAN par une machine de la DMZ qui aurait été compromise. Il faut d'abord que l'attaquant en DMZ soit capable de connaitre les IP du LAN (ce qui ne doit pas être super compliqué...).
C'est même très simple, puisqu'au minimum on récupère tous les broadcasts ARP...
Avec un paserelle linux+netfilter pour communiquer entre les deux VLANs, est-ce qu'il n'est pas possible de binder l'adresse IP et l'adresse MAC des machines afin d'éviter qu'une machine de la DMZ ne puisse communiquer avec le LAN (mais je récupère l'IP du switch ou l'IP des machines) ?
Rien compris. On est dans quel scénario, là? Switches séparés, switches connectés avec VLANs, ou switches connectés avec VLANs? A partir du moment où il y a des VLANs (ou des switches séparés), le trafic entre les deux réseaux passe par le firewall (ou ce qui en tient lieu), qui ne doit laisser passer que le trafic utile et nécessaire (normalement, ça va être des requêtes SQL sur une base de données, quelque chose du genre). Enfin, le principe d'une DMZ, quoi.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
