- 1 Serveur de Mail (SMTP,POP,IMAP,Antivirus et probablement greylisting et
autres filtrages)
- 1 Serveur pour HTTP (WebMail) et FTP
- 1 Serveur de Base de Données pour stocker les comptes, carnets d'adresses
ou autres besoins des services de Mail, Webmail, Web et FTP.
Admettons que je ne puisse pas rajouter d'autre serveurs, je voudrais quand
meme avoir dans ma DMZ un DNS cache pour la DMZ elle même et pour mon LAN.
Sur quel serveur le service serait-il le mieux placé du point de vue de la
sécurité ??
Je pensais au serveur de BD qui est le seul a ne pas etre accessible
directement via l'exterieur, il ne ferait des requetes externes que pour le
DNS...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
DAPL
Bonjour,
J'ai une DMZ avec trois serveurs dedans.
- 1 Serveur de Mail (SMTP,POP,IMAP,Antivirus et probablement greylisting et autres filtrages) - 1 Serveur pour HTTP (WebMail) et FTP - 1 Serveur de Base de Données pour stocker les comptes, carnets d'adresses ou autres besoins des services de Mail, Webmail, Web et FTP.
Admettons que je ne puisse pas rajouter d'autre serveurs, je voudrais quand meme avoir dans ma DMZ un DNS cache pour la DMZ elle même et pour mon LAN.
Sur quel serveur le service serait-il le mieux placé du point de vue de la sécurité ??
Je pensais au serveur de BD qui est le seul a ne pas etre accessible directement via l'exterieur, il ne ferait des requetes externes que pour le DNS...
Qu'en pensez-vous ??
Je dirais sur le serveur HTTP/FTP. La ressource nécessaire n'est pas importante.
--
DAPL http://marreduspam.com/ad252602
Bonjour,
J'ai une DMZ avec trois serveurs dedans.
- 1 Serveur de Mail (SMTP,POP,IMAP,Antivirus et probablement greylisting et
autres filtrages)
- 1 Serveur pour HTTP (WebMail) et FTP
- 1 Serveur de Base de Données pour stocker les comptes, carnets d'adresses
ou autres besoins des services de Mail, Webmail, Web et FTP.
Admettons que je ne puisse pas rajouter d'autre serveurs, je voudrais quand
meme avoir dans ma DMZ un DNS cache pour la DMZ elle même et pour mon LAN.
Sur quel serveur le service serait-il le mieux placé du point de vue de la
sécurité ??
Je pensais au serveur de BD qui est le seul a ne pas etre accessible
directement via l'exterieur, il ne ferait des requetes externes que pour le
DNS...
Qu'en pensez-vous ??
Je dirais sur le serveur HTTP/FTP. La ressource nécessaire n'est pas
importante.
- 1 Serveur de Mail (SMTP,POP,IMAP,Antivirus et probablement greylisting et autres filtrages) - 1 Serveur pour HTTP (WebMail) et FTP - 1 Serveur de Base de Données pour stocker les comptes, carnets d'adresses ou autres besoins des services de Mail, Webmail, Web et FTP.
Admettons que je ne puisse pas rajouter d'autre serveurs, je voudrais quand meme avoir dans ma DMZ un DNS cache pour la DMZ elle même et pour mon LAN.
Sur quel serveur le service serait-il le mieux placé du point de vue de la sécurité ??
Je pensais au serveur de BD qui est le seul a ne pas etre accessible directement via l'exterieur, il ne ferait des requetes externes que pour le DNS...
Qu'en pensez-vous ??
Je dirais sur le serveur HTTP/FTP. La ressource nécessaire n'est pas importante.
--
DAPL http://marreduspam.com/ad252602
Michel Claveau - abstraction meta-galactique non triviale en fuite perpetuelle.
Bonjour,
Comment est accessible ton serveur BD ? Si c'est par TCP/IP, alors, il n'est pas évident qu'il ne soit pas accessible de l'extérieur. Tout dépend des NAT du routeur.
Et puis, pour tous les logiciels serveurs que tu utilises (mail, HTTP, FTP, BDD), as-tu une maîtrise et un information complète sur ce qu'ils font ? Par exemple, des logiciels comme Apache, ou IIS, répondent, par défaut, à tout un tas de requêtes HTTP, dont on n'a que rarement besoin.
Bref, je pense que tu peux mettre ton cache où tu veux, c'est kif-kif.
Autre chose : qu'espères-tu vraiment gagner avec un cache DNS, dans ton cas ?
-- Michel Claveau
Bonjour,
Comment est accessible ton serveur BD ? Si c'est par TCP/IP, alors, il
n'est pas évident qu'il ne soit pas accessible de l'extérieur. Tout dépend
des NAT du routeur.
Et puis, pour tous les logiciels serveurs que tu utilises (mail, HTTP, FTP,
BDD), as-tu une maîtrise et un information complète sur ce qu'ils font ? Par
exemple, des logiciels comme Apache, ou IIS, répondent, par défaut, à tout
un tas de requêtes HTTP, dont on n'a que rarement besoin.
Bref, je pense que tu peux mettre ton cache où tu veux, c'est kif-kif.
Autre chose : qu'espères-tu vraiment gagner avec un cache DNS, dans ton cas
?
Comment est accessible ton serveur BD ? Si c'est par TCP/IP, alors, il n'est pas évident qu'il ne soit pas accessible de l'extérieur. Tout dépend des NAT du routeur.
Et puis, pour tous les logiciels serveurs que tu utilises (mail, HTTP, FTP, BDD), as-tu une maîtrise et un information complète sur ce qu'ils font ? Par exemple, des logiciels comme Apache, ou IIS, répondent, par défaut, à tout un tas de requêtes HTTP, dont on n'a que rarement besoin.
Bref, je pense que tu peux mettre ton cache où tu veux, c'est kif-kif.
Autre chose : qu'espères-tu vraiment gagner avec un cache DNS, dans ton cas ?
-- Michel Claveau
Gael Mauleon
Bonjour,
Comment est accessible ton serveur BD ? Si c'est par TCP/IP, alors, il n'est pas évident qu'il ne soit pas accessible de l'extérieur. Tout dépend des NAT du routeur.
Petit résumé :
Internet | | Routeur | | Firewall ---- DMZ | | Lan
Je maitrise le firewall qui protège la DMZ donc hormis les serveurs interne a la DMZ, personne n'accede a la BD.
Je veux mettre le même cache DNS pour la DMZ et le LAN (autant profiter des nombreuses requetes du serveur de mail et inversement)
Et puis, pour tous les logiciels serveurs que tu utilises (mail, HTTP, FTP, BDD), as-tu une maîtrise et un information complète sur ce qu'ils font ? Par exemple, des logiciels comme Apache, ou IIS, répondent, par défaut, à tout un tas de requêtes HTTP, dont on n'a que rarement besoin.
Ils ne sont pas encore implémentés mais on peut dire oui :)
Bref, je pense que tu peux mettre ton cache où tu veux, c'est kif-kif.
Et bien justement point de vue securité non....
Si le LAN utilise aussi le cache DNS situé dans la DMZ et si je le met sur le serveur ftp par exemple, une prise de controle du serveur FTP signifie une perte du DNS pour le LAN....
Alors que la BD elle est encore tranquille...
Autre chose : qu'espères-tu vraiment gagner avec un cache DNS, dans ton cas ?
Et bien disons que quelques centaines d'utilisateurs qui font des requetes la majorité de la journée, c'est fait pour ca un cache non ?
Donc en résumé, je voudrais un seul et même serveur de cache DNS dans ma DMZ qui servirait pour les serveurs de la DMZ et les postes de mon LAN. Est-ce une bonne solution ou mieux vaut-il mettre le DNS cache dans le LAN et laisser les serveurs de la DMZ en requetes directes ??
Bonjour,
Comment est accessible ton serveur BD ? Si c'est par TCP/IP, alors,
il n'est pas évident qu'il ne soit pas accessible de l'extérieur. Tout
dépend des NAT du routeur.
Petit résumé :
Internet
|
|
Routeur
|
|
Firewall ---- DMZ
|
|
Lan
Je maitrise le firewall qui protège la DMZ donc hormis les serveurs
interne a la DMZ, personne n'accede a la BD.
Je veux mettre le même cache DNS pour la DMZ et le LAN (autant profiter
des nombreuses requetes du serveur de mail et inversement)
Et puis, pour tous les logiciels serveurs que tu utilises (mail, HTTP,
FTP, BDD), as-tu une maîtrise et un information complète sur ce qu'ils
font ? Par exemple, des logiciels comme Apache, ou IIS, répondent, par
défaut, à tout un tas de requêtes HTTP, dont on n'a que rarement
besoin.
Ils ne sont pas encore implémentés mais on peut dire oui :)
Bref, je pense que tu peux mettre ton cache où tu veux, c'est kif-kif.
Et bien justement point de vue securité non....
Si le LAN utilise aussi le cache DNS situé dans la DMZ et si je le met
sur le serveur ftp par exemple, une prise de controle du serveur FTP
signifie une perte du DNS pour le LAN....
Alors que la BD elle est encore tranquille...
Autre chose : qu'espères-tu vraiment gagner avec un cache DNS, dans
ton cas ?
Et bien disons que quelques centaines d'utilisateurs qui font des
requetes la majorité de la journée, c'est fait pour ca un cache non ?
Donc en résumé, je voudrais un seul et même serveur de cache DNS dans ma
DMZ qui servirait pour les serveurs de la DMZ et les postes de mon LAN.
Est-ce une bonne solution ou mieux vaut-il mettre le DNS cache dans le
LAN et laisser les serveurs de la DMZ en requetes directes ??
Comment est accessible ton serveur BD ? Si c'est par TCP/IP, alors, il n'est pas évident qu'il ne soit pas accessible de l'extérieur. Tout dépend des NAT du routeur.
Petit résumé :
Internet | | Routeur | | Firewall ---- DMZ | | Lan
Je maitrise le firewall qui protège la DMZ donc hormis les serveurs interne a la DMZ, personne n'accede a la BD.
Je veux mettre le même cache DNS pour la DMZ et le LAN (autant profiter des nombreuses requetes du serveur de mail et inversement)
Et puis, pour tous les logiciels serveurs que tu utilises (mail, HTTP, FTP, BDD), as-tu une maîtrise et un information complète sur ce qu'ils font ? Par exemple, des logiciels comme Apache, ou IIS, répondent, par défaut, à tout un tas de requêtes HTTP, dont on n'a que rarement besoin.
Ils ne sont pas encore implémentés mais on peut dire oui :)
Bref, je pense que tu peux mettre ton cache où tu veux, c'est kif-kif.
Et bien justement point de vue securité non....
Si le LAN utilise aussi le cache DNS situé dans la DMZ et si je le met sur le serveur ftp par exemple, une prise de controle du serveur FTP signifie une perte du DNS pour le LAN....
Alors que la BD elle est encore tranquille...
Autre chose : qu'espères-tu vraiment gagner avec un cache DNS, dans ton cas ?
Et bien disons que quelques centaines d'utilisateurs qui font des requetes la majorité de la journée, c'est fait pour ca un cache non ?
Donc en résumé, je voudrais un seul et même serveur de cache DNS dans ma DMZ qui servirait pour les serveurs de la DMZ et les postes de mon LAN. Est-ce une bonne solution ou mieux vaut-il mettre le DNS cache dans le LAN et laisser les serveurs de la DMZ en requetes directes ??
Cedric Blancher
Le Thu, 26 Aug 2004 14:16:56 +0000, Gael Mauleon a écrit :
Donc en résumé, je voudrais un seul et même serveur de cache DNS dans ma DMZ qui servirait pour les serveurs de la DMZ et les postes de mon LAN.
Dans ce cas, il est dangereux de le mettre dans la DMZ. En effet, la DMZ est une zone moins sûre que le LAN, et à ce titre, faire reposer les communication du LAN, zone sûre, sur un de ses élements est une mauvaise idée.
Si un serveur de ta DMZ se fait pirater, l'intrus sera en mesure de détourner les requêtes DNS de tes clients et pourra donc interférer avec le trafic LAN - Internet, ce que ne devrait pas pouvoir faire la DMZ.
Est-ce une bonne solution ou mieux vaut-il mettre le DNS cache dans le LAN et laisser les serveurs de la DMZ en requetes directes ??
Faut de mieux, oui. Ou alors, mettre en place un cache réservé à la DMZ.
-- BOFH excuse #419:
Repeated reboots of the system failed to solve problem
Le Thu, 26 Aug 2004 14:16:56 +0000, Gael Mauleon a écrit :
Donc en résumé, je voudrais un seul et même serveur de cache DNS dans ma
DMZ qui servirait pour les serveurs de la DMZ et les postes de mon LAN.
Dans ce cas, il est dangereux de le mettre dans la DMZ. En effet, la DMZ
est une zone moins sûre que le LAN, et à ce titre, faire reposer les
communication du LAN, zone sûre, sur un de ses élements est une
mauvaise idée.
Si un serveur de ta DMZ se fait pirater, l'intrus sera en mesure de
détourner les requêtes DNS de tes clients et pourra donc interférer
avec le trafic LAN - Internet, ce que ne devrait pas pouvoir faire la DMZ.
Est-ce une bonne solution ou mieux vaut-il mettre le DNS cache dans le
LAN et laisser les serveurs de la DMZ en requetes directes ??
Faut de mieux, oui. Ou alors, mettre en place un cache réservé à la DMZ.
--
BOFH excuse #419:
Repeated reboots of the system failed to solve problem
Le Thu, 26 Aug 2004 14:16:56 +0000, Gael Mauleon a écrit :
Donc en résumé, je voudrais un seul et même serveur de cache DNS dans ma DMZ qui servirait pour les serveurs de la DMZ et les postes de mon LAN.
Dans ce cas, il est dangereux de le mettre dans la DMZ. En effet, la DMZ est une zone moins sûre que le LAN, et à ce titre, faire reposer les communication du LAN, zone sûre, sur un de ses élements est une mauvaise idée.
Si un serveur de ta DMZ se fait pirater, l'intrus sera en mesure de détourner les requêtes DNS de tes clients et pourra donc interférer avec le trafic LAN - Internet, ce que ne devrait pas pouvoir faire la DMZ.
Est-ce une bonne solution ou mieux vaut-il mettre le DNS cache dans le LAN et laisser les serveurs de la DMZ en requetes directes ??
Faut de mieux, oui. Ou alors, mettre en place un cache réservé à la DMZ.
-- BOFH excuse #419:
Repeated reboots of the system failed to solve problem
Gael Mauleon
DAPL wrote in news:cgkifd$49a$:
Je dirais sur le serveur HTTP/FTP. La ressource nécessaire n'est pas importante.
Point de vue charge je suis assez d'accord mais point de vue sécurité si le HTTP/FTP qui est en "relation directe" avec la zone internet se fait rootkiter, je perds le DNS pour mon LAN et pour les autres serveurs de la DMZ...
La BD dans ce cas là est encore a l'abri...
DAPL <pasdespam@free.fr> wrote in news:cgkifd$49a$1@reader1.imaginet.fr:
Je dirais sur le serveur HTTP/FTP. La ressource nécessaire n'est pas
importante.
Point de vue charge je suis assez d'accord mais point de vue sécurité si le
HTTP/FTP qui est en "relation directe" avec la zone internet se fait
rootkiter, je perds le DNS pour mon LAN et pour les autres serveurs de la
DMZ...
Je dirais sur le serveur HTTP/FTP. La ressource nécessaire n'est pas importante.
Point de vue charge je suis assez d'accord mais point de vue sécurité si le HTTP/FTP qui est en "relation directe" avec la zone internet se fait rootkiter, je perds le DNS pour mon LAN et pour les autres serveurs de la DMZ...
La BD dans ce cas là est encore a l'abri...
Eric Razny
"Gael Mauleon"
[Snap : mettre un serveur DNS utilisé par le LAN dans la DMZ]
Point de vue charge je suis assez d'accord mais point de vue sécurité si le
HTTP/FTP qui est en "relation directe" avec la zone internet se fait rootkiter, je perds le DNS pour mon LAN et pour les autres serveurs de la DMZ...
Raison de plus pour mettre ton cache DNS dans le LAN. (rien ne t'empêche d'en ajouter un dans la DMZ pour la DMZ).
La BD dans ce cas là est encore a l'abri...
Niet! Ce qu'il y a dans ta DMZ peut potentiellement s'écrouler comme un château de carte. Un fois maître d'un des serveur de la DMZ le méchant pas beau est sur ton segment DMZ et peut essayer de faire tomber tes autres machine avec des trames que ton FW ne filtrera pas, jouer du arp-cache poisoning, kif-kif avec du DNS etc. Quand on configure une machine de la DMZ il est bon de ne pas établir de règles de confiances inutiles (sous nunux et xBSD ce n'est pas inutile de filtrer aussi le traffic à ce niveau vu avec quelle facilité c'est possible[1])
C'est bien pour ça que ces machines sont en DMZ et pas en LAN : en cas de compromission elle ne peuvent (ne devrait, on voit parfois des flux bizarres DMZ-><LAN chez certains!) mettre le souk ailleurs.
Eric.
[1] Attention à documenter ce qu'on fait : ça peut vite devenir un cauchemard pour le "remplaçant pendant les vacances" en cas de pépin :)
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
"Gael Mauleon" <spamquipu@yahoo.fr>
[Snap : mettre un serveur DNS utilisé par le LAN dans la DMZ]
Point de vue charge je suis assez d'accord mais point de vue sécurité si
le
HTTP/FTP qui est en "relation directe" avec la zone internet se fait
rootkiter, je perds le DNS pour mon LAN et pour les autres serveurs de la
DMZ...
Raison de plus pour mettre ton cache DNS dans le LAN. (rien ne t'empêche
d'en ajouter un dans la DMZ pour la DMZ).
La BD dans ce cas là est encore a l'abri...
Niet!
Ce qu'il y a dans ta DMZ peut potentiellement s'écrouler comme un château de
carte. Un fois maître d'un des serveur de la DMZ le méchant pas beau est sur
ton segment DMZ et peut essayer de faire tomber tes autres machine avec des
trames que ton FW ne filtrera pas, jouer du arp-cache poisoning, kif-kif
avec du DNS etc. Quand on configure une machine de la DMZ il est bon de ne
pas établir de règles de confiances inutiles (sous nunux et xBSD ce n'est
pas inutile de filtrer aussi le traffic à ce niveau vu avec quelle facilité
c'est possible[1])
C'est bien pour ça que ces machines sont en DMZ et pas en LAN : en cas de
compromission elle ne peuvent (ne devrait, on voit parfois des flux bizarres
DMZ-><LAN chez certains!) mettre le souk ailleurs.
Eric.
[1] Attention à documenter ce qu'on fait : ça peut vite devenir un
cauchemard pour le "remplaçant pendant les vacances" en cas de pépin :)
--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.
[Snap : mettre un serveur DNS utilisé par le LAN dans la DMZ]
Point de vue charge je suis assez d'accord mais point de vue sécurité si le
HTTP/FTP qui est en "relation directe" avec la zone internet se fait rootkiter, je perds le DNS pour mon LAN et pour les autres serveurs de la DMZ...
Raison de plus pour mettre ton cache DNS dans le LAN. (rien ne t'empêche d'en ajouter un dans la DMZ pour la DMZ).
La BD dans ce cas là est encore a l'abri...
Niet! Ce qu'il y a dans ta DMZ peut potentiellement s'écrouler comme un château de carte. Un fois maître d'un des serveur de la DMZ le méchant pas beau est sur ton segment DMZ et peut essayer de faire tomber tes autres machine avec des trames que ton FW ne filtrera pas, jouer du arp-cache poisoning, kif-kif avec du DNS etc. Quand on configure une machine de la DMZ il est bon de ne pas établir de règles de confiances inutiles (sous nunux et xBSD ce n'est pas inutile de filtrer aussi le traffic à ce niveau vu avec quelle facilité c'est possible[1])
C'est bien pour ça que ces machines sont en DMZ et pas en LAN : en cas de compromission elle ne peuvent (ne devrait, on voit parfois des flux bizarres DMZ-><LAN chez certains!) mettre le souk ailleurs.
Eric.
[1] Attention à documenter ce qu'on fait : ça peut vite devenir un cauchemard pour le "remplaçant pendant les vacances" en cas de pépin :)
-- L'invulnérable : Je ne pense pas etre piratable, infectable par un trojen oui! Vu sur fcs un jour de mars 2004.
Gael Mauleon
Si un serveur de ta DMZ se fait pirater, l'intrus sera en mesure de détourner les requêtes DNS de tes clients et pourra donc interférer avec le trafic LAN - Internet, ce que ne devrait pas pouvoir faire la DMZ.
Bien, je vais voir sur quel serveur je peux le mettre dans mon LAN pour mon LAN alors.
Faut de mieux, oui. Ou alors, mettre en place un cache réservé à la DMZ.
Bien compris. Merci encore.
Si un serveur de ta DMZ se fait pirater, l'intrus sera en mesure de
détourner les requêtes DNS de tes clients et pourra donc interférer
avec le trafic LAN - Internet, ce que ne devrait pas pouvoir faire la
DMZ.
Bien, je vais voir sur quel serveur je peux le mettre dans mon LAN pour mon
LAN alors.
Faut de mieux, oui. Ou alors, mettre en place un cache réservé à la
DMZ.
Si un serveur de ta DMZ se fait pirater, l'intrus sera en mesure de détourner les requêtes DNS de tes clients et pourra donc interférer avec le trafic LAN - Internet, ce que ne devrait pas pouvoir faire la DMZ.
Bien, je vais voir sur quel serveur je peux le mettre dans mon LAN pour mon LAN alors.
Faut de mieux, oui. Ou alors, mettre en place un cache réservé à la DMZ.
