Je suis actuellement en train de migrer vers une nouvelle version de
firewall. L'équipe qui avait monté l'architecture réseau existante n'est
plus dans les murs. Ils avaient choisi de faire du NAT 1:1 pour la DMZ.
Sachant que nous ne sommes pas limités en addressage publique pour nos
serveurs situés sur la DMZ, je ne vois pas en terme de sécurité
l'intérêt de faire du NAT 1:1 sur la DMZ.
Selon moi, cela n'arrête en rien les attaques, fait travailler le
firewall pour rien, et bloque l'IPSEC.
Mais comme je me dis qu'il doit surement il doit bien y avoir des
avantages, que malheuresement je ne vois pas, je me permets de laisser
ce post !!
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Dans sa prose, jean lavenant nous ecrivait :
Sachant que nous ne sommes pas limités en addressage publique pour nos serveurs situés sur la DMZ, je ne vois pas en terme de sécurité l'intérêt de faire du NAT 1:1 sur la DMZ.
Aucun, puisque la NAT n'est pas un mécanisme de sécurité.
Par contre, ça évite de créer un subnet publique. Si vous disposez d'une classe quelconque adressée devant votre firewall, sans NAT, vous allez devoir la casser en 2 pour en affecter la moitié à votre DMZ et laisser l'autre moitié devant votre firewall.
Selon moi, cela n'arrête en rien les attaques, fait travailler le firewall pour rien, et bloque l'IPSEC.
Faire de la NAT seule est une débilité sans nom. On fait de la NAT _et_ on filtre en plus. Pour l'IPSEC, ça dépend du mode. Le mode tunnel sans AH s'accomode fort bien de la NAT, en particulier en version 1:1.
-- BOFH excuse #304:
routing problems on the neural net
Dans sa prose, jean lavenant nous ecrivait :
Sachant que nous ne sommes pas limités en addressage publique pour nos
serveurs situés sur la DMZ, je ne vois pas en terme de sécurité
l'intérêt de faire du NAT 1:1 sur la DMZ.
Aucun, puisque la NAT n'est pas un mécanisme de sécurité.
Par contre, ça évite de créer un subnet publique. Si vous disposez
d'une classe quelconque adressée devant votre firewall, sans NAT, vous
allez devoir la casser en 2 pour en affecter la moitié à votre DMZ et
laisser l'autre moitié devant votre firewall.
Selon moi, cela n'arrête en rien les attaques, fait travailler le
firewall pour rien, et bloque l'IPSEC.
Faire de la NAT seule est une débilité sans nom. On fait de la NAT _et_
on filtre en plus.
Pour l'IPSEC, ça dépend du mode. Le mode tunnel sans AH s'accomode fort
bien de la NAT, en particulier en version 1:1.
Sachant que nous ne sommes pas limités en addressage publique pour nos serveurs situés sur la DMZ, je ne vois pas en terme de sécurité l'intérêt de faire du NAT 1:1 sur la DMZ.
Aucun, puisque la NAT n'est pas un mécanisme de sécurité.
Par contre, ça évite de créer un subnet publique. Si vous disposez d'une classe quelconque adressée devant votre firewall, sans NAT, vous allez devoir la casser en 2 pour en affecter la moitié à votre DMZ et laisser l'autre moitié devant votre firewall.
Selon moi, cela n'arrête en rien les attaques, fait travailler le firewall pour rien, et bloque l'IPSEC.
Faire de la NAT seule est une débilité sans nom. On fait de la NAT _et_ on filtre en plus. Pour l'IPSEC, ça dépend du mode. Le mode tunnel sans AH s'accomode fort bien de la NAT, en particulier en version 1:1.
-- BOFH excuse #304:
routing problems on the neural net
jean lavenant
Cedric Blancher wrote:
Sachant que nous ne sommes pas limités en addressage publique pour nos serveurs situés sur la DMZ, je ne vois pas en terme de sécurité l'intérêt de faire du NAT 1:1 sur la DMZ.
Aucun, puisque la NAT n'est pas un mécanisme de sécurité. Evidemment, c'est exactement l'info que je voulais confirmer !
Par contre, ça évite de créer un subnet publique. Si vous disposez d'une classe quelconque adressée devant votre firewall, sans NAT, vous allez devoir la casser en 2 pour en affecter la moitié à votre DMZ et laisser l'autre moitié devant votre firewall.
Merci pour cette explication, je n'avais pas pensé en terme pratique de routage. Evidemment, cela fractionne la classe, et rend l'adressage moins souple.
Cedric Blancher wrote:
Sachant que nous ne sommes pas limités en addressage publique pour nos
serveurs situés sur la DMZ, je ne vois pas en terme de sécurité
l'intérêt de faire du NAT 1:1 sur la DMZ.
Aucun, puisque la NAT n'est pas un mécanisme de sécurité.
Evidemment, c'est exactement l'info que je voulais confirmer !
Par contre, ça évite de créer un subnet publique. Si vous disposez
d'une classe quelconque adressée devant votre firewall, sans NAT, vous
allez devoir la casser en 2 pour en affecter la moitié à votre DMZ et
laisser l'autre moitié devant votre firewall.
Merci pour cette explication, je n'avais pas pensé en terme pratique de
routage. Evidemment, cela fractionne la classe, et rend l'adressage
moins souple.
Sachant que nous ne sommes pas limités en addressage publique pour nos serveurs situés sur la DMZ, je ne vois pas en terme de sécurité l'intérêt de faire du NAT 1:1 sur la DMZ.
Aucun, puisque la NAT n'est pas un mécanisme de sécurité. Evidemment, c'est exactement l'info que je voulais confirmer !
Par contre, ça évite de créer un subnet publique. Si vous disposez d'une classe quelconque adressée devant votre firewall, sans NAT, vous allez devoir la casser en 2 pour en affecter la moitié à votre DMZ et laisser l'autre moitié devant votre firewall.
Merci pour cette explication, je n'avais pas pensé en terme pratique de routage. Evidemment, cela fractionne la classe, et rend l'adressage moins souple.
T0t0
"jean lavenant" wrote in message news:brmnoe$l6s$
Mais comme je me dis qu'il doit surement il doit bien y avoir des avantages, que malheuresement je ne vois pas, je me permets de laisser ce post !!
Un des avantages majeurs est aussi de rendre l'adressage de la DMZ independant de l'adressage fourni par le FAI. Toute la configuration IP est contenue sur l'element qui fait la NAT. Si tu changes de FAI, ca se fait plus facilement que de devoir changer les adresses sur chacunes des machines.
En terme de securite, c'est kif-kif.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"jean lavenant" <jean.lavenant@equipement.gouv.fr> wrote in message
news:brmnoe$l6s$1@setranews.setra.fr
Mais comme je me dis qu'il doit surement il doit bien y avoir des
avantages, que malheuresement je ne vois pas, je me permets de laisser
ce post !!
Un des avantages majeurs est aussi de rendre l'adressage de la DMZ
independant de l'adressage fourni par le FAI. Toute la configuration
IP est contenue sur l'element qui fait la NAT.
Si tu changes de FAI, ca se fait plus facilement que de devoir changer
les adresses sur chacunes des machines.
En terme de securite, c'est kif-kif.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Mais comme je me dis qu'il doit surement il doit bien y avoir des avantages, que malheuresement je ne vois pas, je me permets de laisser ce post !!
Un des avantages majeurs est aussi de rendre l'adressage de la DMZ independant de l'adressage fourni par le FAI. Toute la configuration IP est contenue sur l'element qui fait la NAT. Si tu changes de FAI, ca se fait plus facilement que de devoir changer les adresses sur chacunes des machines.
En terme de securite, c'est kif-kif.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
