DMZ (you are in the arme now wooooooohoho)

Le
alban
alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le dmz
et pourquoi le faire ? si je le laisse derierre le firewall avec la
translation d'adresse ca va posser pb ?

merci a+
--
oui je sais
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
T0t0
Le #32596
"alban" news:c7as3o$uc$
alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le dmz
et pourquoi le faire ?


C'est un principe de sécurité, tu sépares les serveurs accessibles
depuis Internet des machines qui ne le sont pas.
Ainsi, si jamais l'une d'elles se fait pirater, les machines de ton
réseau local ne seront pas directement accessibles.

si je le laisse derierre le firewall avec la
translation d'adresse ca va posser pb ?


Ca marchera très bien, mais tu mettras ton réseau en péril si jamais
ton serveur se fait pirater.


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

alban
Le #32595
T0t0 wrote:

"alban" news:c7as3o$uc$
alors j'ai un routeur firewall avec dmz, je dois mettre mon ftp sur le
dmz et pourquoi le faire ?


C'est un principe de sécurité, tu sépares les serveurs accessibles
depuis Internet des machines qui ne le sont pas.
Ainsi, si jamais l'une d'elles se fait pirater, les machines de ton
réseau local ne seront pas directement accessibles.

si je le laisse derierre le firewall avec la
translation d'adresse ca va posser pb ?


Ca marchera très bien, mais tu mettras ton réseau en péril si jamais
ton serveur se fait pirater.




ok mais pour pirater le pc faudra deja passer le firewall un minimu quoi que
peu etre une faille du ftp qui sera ouvert et j'ai oubiler de dire que
c'est un DMZ logique et pas physique j'y crois pas des masse donc mais bon,
encore un avi ?

merci
--
oui je sais...


T0t0
Le #32593
"alban" news:c7asri$ea2$
ok mais pour pirater le pc faudra deja passer le firewall un minimu quoi que
peu etre une faille du ftp qui sera ouvert et j'ai oubiler de dire que
c'est un DMZ logique et pas physique j'y crois pas des masse donc mais bon,
encore un avi ?


Je ne suis pas sûr d'avoir été clair.
D'un coté, tu as le traffic LAN<->Internet, et tu bloques tout en
entrée, rien ne passe.
Par ailleurs, tu as le traffic DMZ<->Internet, et là, tu autorises le
traffic entrant pour tous les protocoles que tu souhaites rendre
accessibles (dans ton cas FTP)

Si tout cela est bien fait, une façon d'attaquer ton réseau est
effectivement d'utiliser une faille sur ton serveur FTP, ce qui n'est
pas obligatoirement simple. Tu peux te dire "Ca n'arrivera jamais" et
dans ce cas la vie est belle. Mais les exemples de vers récents
montrent que peu de monde est invulnérable (voir slammer, codered,
et autres vers applicatifs)
Ou tu peux te dire qu'il est possible que ta becane se fasse un jour
pirater. Et dans ce cas, il est essentiel qu'elle soit isolée du
reste du réseau puisqu'elle représente une faille potentielle dans
ton système.

Le fait d'utiliser une DMZ logique est un autre problème. Tu fais
cela par trunking de VLANs avec une patte unique sur ton firewall ?
ou juste par VLAN sur un même switch ?

Maintenant, c'est à toi de voir ;-)


--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Annie D.
Le #32110
T0t0 wrote:

Le fait d'utiliser une DMZ logique est un autre problème. Tu fais
cela par trunking de VLANs avec une patte unique sur ton firewall ?
ou juste par VLAN sur un même switch ?


J'ai peur que cela ne soit rien de tout cela.

Avec certains routeurs, en particulier les modèles destinés à une
utilisation domestique, le terme "DMZ" a pris un sens un peu curieux :
une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que
les autres, reçoit tout le trafic entrant qui n'a pas de destination
spécifique (connexion existante ou redirection explicite).

La machine en "DMZ", ainsi exposée, a toutes les chances de se faire
trouer par la moindre vulnérabilité d'un de ses services et rien ne
l'empêche alors de servir de relais pour attaquer le reste du LAN. En
bref, tout le contraire du concept normal de DMZ.

alban
Le #32106
Annie D. wrote:

T0t0 wrote:

Le fait d'utiliser une DMZ logique est un autre problème. Tu fais
cela par trunking de VLANs avec une patte unique sur ton firewall ?
ou juste par VLAN sur un même switch ?


J'ai peur que cela ne soit rien de tout cela.

Avec certains routeurs, en particulier les modèles destinés à une
utilisation domestique, le terme "DMZ" a pris un sens un peu curieux :
une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que
les autres, reçoit tout le trafic entrant qui n'a pas de destination
spécifique (connexion existante ou redirection explicite).

La machine en "DMZ", ainsi exposée, a toutes les chances de se faire
trouer par la moindre vulnérabilité d'un de ses services et rien ne
l'empêche alors de servir de relais pour attaquer le reste du LAN. En
bref, tout le contraire du concept normal de DMZ.



merci annie D tout a fais ce que je pense, donc ce genre de DMZ et inutile ?
me conseillez vous de place mon serveur ftp (qui ce trouve sur mon lan)
derrier le FW et de faire du forwarding ?
--
oui je sais...


T0t0
Le #32104
"Annie D." news:
Avec certains routeurs, en particulier les modèles destinés à une
utilisation domestique, le terme "DMZ" a pris un sens un peu curieux :
une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que
les autres, reçoit tout le trafic entrant qui n'a pas de destination
spécifique (connexion existante ou redirection explicite).


Nan, ils ont pas fait ca ?
Ca devient vraiment n'importe quoi le réseau, on utilise des termes
génriques pour désigner tout et n'importe quoi.

La machine en "DMZ", ainsi exposée, a toutes les chances de se faire
trouer par la moindre vulnérabilité d'un de ses services et rien ne
l'empêche alors de servir de relais pour attaquer le reste du LAN. En
bref, tout le contraire du concept normal de DMZ.


Arf, un point de plus à ajouter dans mon petit lexique. Et le grand
gagnant est encore une fois l'utilisateur final qui se pigeonnise
un peu plus à chaque fois qu'un commercial a un éclair de génie...

Pour ceux que ca intéresse:




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Annie D.
Le #31610
T0t0 wrote:

Avec certains routeurs, en particulier les modèles destinés à une
utilisation domestique, le terme "DMZ" a pris un sens un peu curieux :
une machine déclarée en "DMZ", qui est par ailleurs sur le même LAN que
les autres, reçoit tout le trafic entrant qui n'a pas de destination
spécifique (connexion existante ou redirection explicite).


Nan, ils ont pas fait ca ?


(C'est de l'anglais, mais je ne voudrais pas risquer d'altérer le texte
original par un contre-sens dans la traduction.)

Définition selon D-Link :

"DMZ Host Supported
Allows a networked computer to be fully exposed to the Internet. This
function is used when the Special Application feature is insufficient
to allow an application to function correctly."

Définition selon Netgear :

"Incoming traffic from the Internet is normally discarded by the
gateway unless the traffic is a response to one of your local
computers or a service that you have configured in the Port
Forwarding menu. Instead of discarding this traffic, you can have it
forwarded to one computer on your network. This computer is called the
Default DMZ Server."

A la décharge de ces deux fabricants, les manuels indiquent qu'il vaut
mieux éviter cette configuration car elle expose à des risques de
sécurité.


T0t0
Le #31603
"Annie D." news:
A la décharge de ces deux fabricants, les manuels indiquent qu'il vaut
mieux éviter cette configuration car elle expose à des risques de
sécurité.


Ah oui, mais là, c'est la porte ouverte à n'importe quoi.
On associe habituellemnt le concept de DMZ à celui de sécurité (du
moins c'est une notion qui permet d'augmenter la sécurité du réseau)
alors que là, c'est tout l'inverse, on diminue la sécurité du réseau !

Sans parler des vers windows et autres. C'est la cata...




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Publicité
Poster une réponse
Anonyme