Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local est
aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous les
équipements sont sur le même réseau IP, sauf évidemment le routeur Oleane
qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans la
mesure où les postes clients ont finalement accès directement à Internet.
Est ce que ce genre d'architecture nécessite un proxy ? Avez-vous des
exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui ci
étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local est
aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous les
équipements sont sur le même réseau IP, sauf évidemment le routeur Oleane
qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans la
mesure où les postes clients ont finalement accès directement à Internet.
Est ce que ce genre d'architecture nécessite un proxy ? Avez-vous des
exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui ci
étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local est
aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous les
équipements sont sur le même réseau IP, sauf évidemment le routeur Oleane
qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans la
mesure où les postes clients ont finalement accès directement à Internet.
Est ce que ce genre d'architecture nécessite un proxy ? Avez-vous des
exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui ci
étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
25/ 110 / 443 / 53 en TCP) soit tout "mode diode". Qu'est ce que le "mode
diode" ? Veux tu dire que je ne dois autoriser en sortie uniquement les
ports énoncés afin d'empecher les accès vers l'extérieur à des programmes
ouvrants des connexions sur d'autres ports que ceux énoncés ?
Salut,
Voici quelques remarques en vrac :
- Le port 80 ouvert n'est pas du tout une bonne idée ... d'autant que
je ne sais pas qu'el est ton serveur derrièere (MICROSOFT / LINUX - IIS /
APPACHE autre ?)
- Utilises plutot le PAT (redirection de ports)
De plus mettre un serveur web directement dans le rseau accessible depuis
l'exterieur est extremeent dangereux .. il faut faire une DMZ dans
laquelle les acces seront :
- EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80 de la machine
plan adressage 192.168.1.0/C
- EXTERIEUR --> LAN RIEN N'ENTRE
- INTERIEUR --> DMZ uniquement si besoin
- INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80 /
25/ 110 / 443 / 53 en TCP) soit tout "mode diode"
De plus tes postes sont disposés derriere un firewall qui doit
obligatoirement faire de la NAT (translation d'adresse) afin qu'ils ne
soient pas visible du net. Bien que pas précisé dans ton message je
suppose qu'il le fasse mais c'est juste pour mémoire car j'ai déja vu ce
genre de conf chez des clients .... !!!!
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
Le role du proxy est plus de faire du controle d'URL et du cache que de
sécuriser à proprement parler.
Oilou n'hésites pas a poster des détails si tu veux plus d'infos ou mail
en direct
A+
Seb
"Santino" a écrit dans le message de news:
4235da91$0$19324$Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local est
aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous les
équipements sont sur le même réseau IP, sauf évidemment le routeur Oleane
qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans
la mesure où les postes clients ont finalement accès directement à
Internet. Est ce que ce genre d'architecture nécessite un proxy ?
Avez-vous des exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui
ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
25/ 110 / 443 / 53 en TCP) soit tout "mode diode". Qu'est ce que le "mode
diode" ? Veux tu dire que je ne dois autoriser en sortie uniquement les
ports énoncés afin d'empecher les accès vers l'extérieur à des programmes
ouvrants des connexions sur d'autres ports que ceux énoncés ?
Salut,
Voici quelques remarques en vrac :
- Le port 80 ouvert n'est pas du tout une bonne idée ... d'autant que
je ne sais pas qu'el est ton serveur derrièere (MICROSOFT / LINUX - IIS /
APPACHE autre ?)
- Utilises plutot le PAT (redirection de ports)
De plus mettre un serveur web directement dans le rseau accessible depuis
l'exterieur est extremeent dangereux .. il faut faire une DMZ dans
laquelle les acces seront :
- EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80 de la machine
plan adressage 192.168.1.0/C
- EXTERIEUR --> LAN RIEN N'ENTRE
- INTERIEUR --> DMZ uniquement si besoin
- INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80 /
25/ 110 / 443 / 53 en TCP) soit tout "mode diode"
De plus tes postes sont disposés derriere un firewall qui doit
obligatoirement faire de la NAT (translation d'adresse) afin qu'ils ne
soient pas visible du net. Bien que pas précisé dans ton message je
suppose qu'il le fasse mais c'est juste pour mémoire car j'ai déja vu ce
genre de conf chez des clients .... !!!!
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
Le role du proxy est plus de faire du controle d'URL et du cache que de
sécuriser à proprement parler.
Oilou n'hésites pas a poster des détails si tu veux plus d'infos ou mail
en direct
A+
Seb
"Santino" <santino@wanadoo.fr> a écrit dans le message de news:
4235da91$0$19324$8fcfb975@news.wanadoo.fr...
Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local est
aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous les
équipements sont sur le même réseau IP, sauf évidemment le routeur Oleane
qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans
la mesure où les postes clients ont finalement accès directement à
Internet. Est ce que ce genre d'architecture nécessite un proxy ?
Avez-vous des exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui
ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
25/ 110 / 443 / 53 en TCP) soit tout "mode diode". Qu'est ce que le "mode
diode" ? Veux tu dire que je ne dois autoriser en sortie uniquement les
ports énoncés afin d'empecher les accès vers l'extérieur à des programmes
ouvrants des connexions sur d'autres ports que ceux énoncés ?
Salut,
Voici quelques remarques en vrac :
- Le port 80 ouvert n'est pas du tout une bonne idée ... d'autant que
je ne sais pas qu'el est ton serveur derrièere (MICROSOFT / LINUX - IIS /
APPACHE autre ?)
- Utilises plutot le PAT (redirection de ports)
De plus mettre un serveur web directement dans le rseau accessible depuis
l'exterieur est extremeent dangereux .. il faut faire une DMZ dans
laquelle les acces seront :
- EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80 de la machine
plan adressage 192.168.1.0/C
- EXTERIEUR --> LAN RIEN N'ENTRE
- INTERIEUR --> DMZ uniquement si besoin
- INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80 /
25/ 110 / 443 / 53 en TCP) soit tout "mode diode"
De plus tes postes sont disposés derriere un firewall qui doit
obligatoirement faire de la NAT (translation d'adresse) afin qu'ils ne
soient pas visible du net. Bien que pas précisé dans ton message je
suppose qu'il le fasse mais c'est juste pour mémoire car j'ai déja vu ce
genre de conf chez des clients .... !!!!
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
Le role du proxy est plus de faire du controle d'URL et du cache que de
sécuriser à proprement parler.
Oilou n'hésites pas a poster des détails si tu veux plus d'infos ou mail
en direct
A+
Seb
"Santino" a écrit dans le message de news:
4235da91$0$19324$Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local est
aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous les
équipements sont sur le même réseau IP, sauf évidemment le routeur Oleane
qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans
la mesure où les postes clients ont finalement accès directement à
Internet. Est ce que ce genre d'architecture nécessite un proxy ?
Avez-vous des exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui
ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
Bonjour et merci pour ta réponse,
Le serveur installé est un Apache tournant sous Win2000. Je vais le migrer
sous une Red Hat prochainement. Mon routeur fait bien de la NAT, la seule
IP publique étant celle récupérée par le routeur Oleane.
Je pense en effet que je vais implémenter une DMZ. Cependant, j'aurais
voulu avoir des précisions sur ce que tu énonçais.
* A quel endroit dois-connecter le serveur ? Entre le routeur et le
firewall j'imagine, car si il est derrière le firewall, il sera sur le
même réseau que le LAN, à savoir comme aujourd'hui.
* Tu dis : EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80. C'est à
dire que les clients se connecteront avec le port 8181 ?
* Tu dis INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80
/25/ 110 / 443 / 53 en TCP) soit tout "mode diode". Qu'est ce que le "mode
diode" ? Veux tu dire que je ne dois autoriser en sortie uniquement les
ports énoncés afin d'empecher les accès vers l'extérieur à des programmes
ouvrants des connexions sur d'autres ports que ceux énoncés ?
Merci d'avance pour tes réponses !
Laurent
"Seb_o_gaz" a écrit dans le message de news:
42383606$0$31881$Salut,
Voici quelques remarques en vrac :
- Le port 80 ouvert n'est pas du tout une bonne idée ... d'autant que
je ne sais pas qu'el est ton serveur derrièere (MICROSOFT / LINUX - IIS /
APPACHE autre ?)
- Utilises plutot le PAT (redirection de ports)
De plus mettre un serveur web directement dans le rseau accessible depuis
l'exterieur est extremeent dangereux .. il faut faire une DMZ dans
laquelle les acces seront :
- EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80 de la machine
plan adressage 192.168.1.0/C
- EXTERIEUR --> LAN RIEN N'ENTRE
- INTERIEUR --> DMZ uniquement si besoin
- INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80 /
25/ 110 / 443 / 53 en TCP) soit tout "mode diode"
De plus tes postes sont disposés derriere un firewall qui doit
obligatoirement faire de la NAT (translation d'adresse) afin qu'ils ne
soient pas visible du net. Bien que pas précisé dans ton message je
suppose qu'il le fasse mais c'est juste pour mémoire car j'ai déja vu ce
genre de conf chez des clients .... !!!!
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
Le role du proxy est plus de faire du controle d'URL et du cache que de
sécuriser à proprement parler.
Oilou n'hésites pas a poster des détails si tu veux plus d'infos ou mail
en direct
A+
Seb
"Santino" a écrit dans le message de news:
4235da91$0$19324$Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local
est aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous
les équipements sont sur le même réseau IP, sauf évidemment le routeur
Oleane qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans
la mesure où les postes clients ont finalement accès directement à
Internet. Est ce que ce genre d'architecture nécessite un proxy ?
Avez-vous des exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui
ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
Bonjour et merci pour ta réponse,
Le serveur installé est un Apache tournant sous Win2000. Je vais le migrer
sous une Red Hat prochainement. Mon routeur fait bien de la NAT, la seule
IP publique étant celle récupérée par le routeur Oleane.
Je pense en effet que je vais implémenter une DMZ. Cependant, j'aurais
voulu avoir des précisions sur ce que tu énonçais.
* A quel endroit dois-connecter le serveur ? Entre le routeur et le
firewall j'imagine, car si il est derrière le firewall, il sera sur le
même réseau que le LAN, à savoir comme aujourd'hui.
* Tu dis : EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80. C'est à
dire que les clients se connecteront avec le port 8181 ?
* Tu dis INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80
/
25/ 110 / 443 / 53 en TCP) soit tout "mode diode". Qu'est ce que le "mode
diode" ? Veux tu dire que je ne dois autoriser en sortie uniquement les
ports énoncés afin d'empecher les accès vers l'extérieur à des programmes
ouvrants des connexions sur d'autres ports que ceux énoncés ?
Merci d'avance pour tes réponses !
Laurent
"Seb_o_gaz" <sebastien.gau@inrezo.com> a écrit dans le message de news:
42383606$0$31881$636a15ce@news.free.fr...
Salut,
Voici quelques remarques en vrac :
- Le port 80 ouvert n'est pas du tout une bonne idée ... d'autant que
je ne sais pas qu'el est ton serveur derrièere (MICROSOFT / LINUX - IIS /
APPACHE autre ?)
- Utilises plutot le PAT (redirection de ports)
De plus mettre un serveur web directement dans le rseau accessible depuis
l'exterieur est extremeent dangereux .. il faut faire une DMZ dans
laquelle les acces seront :
- EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80 de la machine
plan adressage 192.168.1.0/C
- EXTERIEUR --> LAN RIEN N'ENTRE
- INTERIEUR --> DMZ uniquement si besoin
- INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80 /
25/ 110 / 443 / 53 en TCP) soit tout "mode diode"
De plus tes postes sont disposés derriere un firewall qui doit
obligatoirement faire de la NAT (translation d'adresse) afin qu'ils ne
soient pas visible du net. Bien que pas précisé dans ton message je
suppose qu'il le fasse mais c'est juste pour mémoire car j'ai déja vu ce
genre de conf chez des clients .... !!!!
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
Le role du proxy est plus de faire du controle d'URL et du cache que de
sécuriser à proprement parler.
Oilou n'hésites pas a poster des détails si tu veux plus d'infos ou mail
en direct
A+
Seb
"Santino" <santino@wanadoo.fr> a écrit dans le message de news:
4235da91$0$19324$8fcfb975@news.wanadoo.fr...
Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local
est aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous
les équipements sont sur le même réseau IP, sauf évidemment le routeur
Oleane qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans
la mesure où les postes clients ont finalement accès directement à
Internet. Est ce que ce genre d'architecture nécessite un proxy ?
Avez-vous des exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui
ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
Bonjour et merci pour ta réponse,
Le serveur installé est un Apache tournant sous Win2000. Je vais le migrer
sous une Red Hat prochainement. Mon routeur fait bien de la NAT, la seule
IP publique étant celle récupérée par le routeur Oleane.
Je pense en effet que je vais implémenter une DMZ. Cependant, j'aurais
voulu avoir des précisions sur ce que tu énonçais.
* A quel endroit dois-connecter le serveur ? Entre le routeur et le
firewall j'imagine, car si il est derrière le firewall, il sera sur le
même réseau que le LAN, à savoir comme aujourd'hui.
* Tu dis : EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80. C'est à
dire que les clients se connecteront avec le port 8181 ?
* Tu dis INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80
/25/ 110 / 443 / 53 en TCP) soit tout "mode diode". Qu'est ce que le "mode
diode" ? Veux tu dire que je ne dois autoriser en sortie uniquement les
ports énoncés afin d'empecher les accès vers l'extérieur à des programmes
ouvrants des connexions sur d'autres ports que ceux énoncés ?
Merci d'avance pour tes réponses !
Laurent
"Seb_o_gaz" a écrit dans le message de news:
42383606$0$31881$Salut,
Voici quelques remarques en vrac :
- Le port 80 ouvert n'est pas du tout une bonne idée ... d'autant que
je ne sais pas qu'el est ton serveur derrièere (MICROSOFT / LINUX - IIS /
APPACHE autre ?)
- Utilises plutot le PAT (redirection de ports)
De plus mettre un serveur web directement dans le rseau accessible depuis
l'exterieur est extremeent dangereux .. il faut faire une DMZ dans
laquelle les acces seront :
- EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80 de la machine
plan adressage 192.168.1.0/C
- EXTERIEUR --> LAN RIEN N'ENTRE
- INTERIEUR --> DMZ uniquement si besoin
- INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80 /
25/ 110 / 443 / 53 en TCP) soit tout "mode diode"
De plus tes postes sont disposés derriere un firewall qui doit
obligatoirement faire de la NAT (translation d'adresse) afin qu'ils ne
soient pas visible du net. Bien que pas précisé dans ton message je
suppose qu'il le fasse mais c'est juste pour mémoire car j'ai déja vu ce
genre de conf chez des clients .... !!!!
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
Le role du proxy est plus de faire du controle d'URL et du cache que de
sécuriser à proprement parler.
Oilou n'hésites pas a poster des détails si tu veux plus d'infos ou mail
en direct
A+
Seb
"Santino" a écrit dans le message de news:
4235da91$0$19324$Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local
est aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous
les équipements sont sur le même réseau IP, sauf évidemment le routeur
Oleane qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans
la mesure où les postes clients ont finalement accès directement à
Internet. Est ce que ce genre d'architecture nécessite un proxy ?
Avez-vous des exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui
ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
Bonjour et merci pour ta réponse,
Le serveur installé est un Apache tournant sous Win2000. Je vais le migrer
sous une Red Hat prochainement. Mon routeur fait bien de la NAT, la seule
IP publique étant celle récupérée par le routeur Oleane.
Je pense en effet que je vais implémenter une DMZ. Cependant, j'aurais
voulu avoir des précisions sur ce que tu énonçais.
* A quel endroit dois-connecter le serveur ? Entre le routeur et le
firewall j'imagine, car si il est derrière le firewall, il sera sur le
même réseau que le LAN, à savoir comme aujourd'hui.
* Tu dis : EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80. C'est à
dire que les clients se connecteront avec le port 8181 ?
* Tu dis INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80
/25/ 110 / 443 / 53 en TCP) soit tout "mode diode". Qu'est ce que le "mode
diode" ? Veux tu dire que je ne dois autoriser en sortie uniquement les
ports énoncés afin d'empecher les accès vers l'extérieur à des programmes
ouvrants des connexions sur d'autres ports que ceux énoncés ?
Merci d'avance pour tes réponses !
Laurent
"Seb_o_gaz" a écrit dans le message de news:
42383606$0$31881$Salut,
Voici quelques remarques en vrac :
- Le port 80 ouvert n'est pas du tout une bonne idée ... d'autant que
je ne sais pas qu'el est ton serveur derrièere (MICROSOFT / LINUX - IIS /
APPACHE autre ?)
- Utilises plutot le PAT (redirection de ports)
De plus mettre un serveur web directement dans le rseau accessible depuis
l'exterieur est extremeent dangereux .. il faut faire une DMZ dans
laquelle les acces seront :
- EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80 de la machine
plan adressage 192.168.1.0/C
- EXTERIEUR --> LAN RIEN N'ENTRE
- INTERIEUR --> DMZ uniquement si besoin
- INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80 /
25/ 110 / 443 / 53 en TCP) soit tout "mode diode"
De plus tes postes sont disposés derriere un firewall qui doit
obligatoirement faire de la NAT (translation d'adresse) afin qu'ils ne
soient pas visible du net. Bien que pas précisé dans ton message je
suppose qu'il le fasse mais c'est juste pour mémoire car j'ai déja vu ce
genre de conf chez des clients .... !!!!
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
Le role du proxy est plus de faire du controle d'URL et du cache que de
sécuriser à proprement parler.
Oilou n'hésites pas a poster des détails si tu veux plus d'infos ou mail
en direct
A+
Seb
"Santino" a écrit dans le message de news:
4235da91$0$19324$Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local
est aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous
les équipements sont sur le même réseau IP, sauf évidemment le routeur
Oleane qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans
la mesure où les postes clients ont finalement accès directement à
Internet. Est ce que ce genre d'architecture nécessite un proxy ?
Avez-vous des exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui
ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
Bonjour et merci pour ta réponse,
Le serveur installé est un Apache tournant sous Win2000. Je vais le migrer
sous une Red Hat prochainement. Mon routeur fait bien de la NAT, la seule
IP publique étant celle récupérée par le routeur Oleane.
Je pense en effet que je vais implémenter une DMZ. Cependant, j'aurais
voulu avoir des précisions sur ce que tu énonçais.
* A quel endroit dois-connecter le serveur ? Entre le routeur et le
firewall j'imagine, car si il est derrière le firewall, il sera sur le
même réseau que le LAN, à savoir comme aujourd'hui.
* Tu dis : EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80. C'est à
dire que les clients se connecteront avec le port 8181 ?
* Tu dis INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80
/
25/ 110 / 443 / 53 en TCP) soit tout "mode diode". Qu'est ce que le "mode
diode" ? Veux tu dire que je ne dois autoriser en sortie uniquement les
ports énoncés afin d'empecher les accès vers l'extérieur à des programmes
ouvrants des connexions sur d'autres ports que ceux énoncés ?
Merci d'avance pour tes réponses !
Laurent
"Seb_o_gaz" <sebastien.gau@inrezo.com> a écrit dans le message de news:
42383606$0$31881$636a15ce@news.free.fr...
Salut,
Voici quelques remarques en vrac :
- Le port 80 ouvert n'est pas du tout une bonne idée ... d'autant que
je ne sais pas qu'el est ton serveur derrièere (MICROSOFT / LINUX - IIS /
APPACHE autre ?)
- Utilises plutot le PAT (redirection de ports)
De plus mettre un serveur web directement dans le rseau accessible depuis
l'exterieur est extremeent dangereux .. il faut faire une DMZ dans
laquelle les acces seront :
- EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80 de la machine
plan adressage 192.168.1.0/C
- EXTERIEUR --> LAN RIEN N'ENTRE
- INTERIEUR --> DMZ uniquement si besoin
- INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80 /
25/ 110 / 443 / 53 en TCP) soit tout "mode diode"
De plus tes postes sont disposés derriere un firewall qui doit
obligatoirement faire de la NAT (translation d'adresse) afin qu'ils ne
soient pas visible du net. Bien que pas précisé dans ton message je
suppose qu'il le fasse mais c'est juste pour mémoire car j'ai déja vu ce
genre de conf chez des clients .... !!!!
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
Le role du proxy est plus de faire du controle d'URL et du cache que de
sécuriser à proprement parler.
Oilou n'hésites pas a poster des détails si tu veux plus d'infos ou mail
en direct
A+
Seb
"Santino" <santino@wanadoo.fr> a écrit dans le message de news:
4235da91$0$19324$8fcfb975@news.wanadoo.fr...
Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local
est aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous
les équipements sont sur le même réseau IP, sauf évidemment le routeur
Oleane qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans
la mesure où les postes clients ont finalement accès directement à
Internet. Est ce que ce genre d'architecture nécessite un proxy ?
Avez-vous des exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui
ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
Bonjour et merci pour ta réponse,
Le serveur installé est un Apache tournant sous Win2000. Je vais le migrer
sous une Red Hat prochainement. Mon routeur fait bien de la NAT, la seule
IP publique étant celle récupérée par le routeur Oleane.
Je pense en effet que je vais implémenter une DMZ. Cependant, j'aurais
voulu avoir des précisions sur ce que tu énonçais.
* A quel endroit dois-connecter le serveur ? Entre le routeur et le
firewall j'imagine, car si il est derrière le firewall, il sera sur le
même réseau que le LAN, à savoir comme aujourd'hui.
* Tu dis : EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80. C'est à
dire que les clients se connecteront avec le port 8181 ?
* Tu dis INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80
/25/ 110 / 443 / 53 en TCP) soit tout "mode diode". Qu'est ce que le "mode
diode" ? Veux tu dire que je ne dois autoriser en sortie uniquement les
ports énoncés afin d'empecher les accès vers l'extérieur à des programmes
ouvrants des connexions sur d'autres ports que ceux énoncés ?
Merci d'avance pour tes réponses !
Laurent
"Seb_o_gaz" a écrit dans le message de news:
42383606$0$31881$Salut,
Voici quelques remarques en vrac :
- Le port 80 ouvert n'est pas du tout une bonne idée ... d'autant que
je ne sais pas qu'el est ton serveur derrièere (MICROSOFT / LINUX - IIS /
APPACHE autre ?)
- Utilises plutot le PAT (redirection de ports)
De plus mettre un serveur web directement dans le rseau accessible depuis
l'exterieur est extremeent dangereux .. il faut faire une DMZ dans
laquelle les acces seront :
- EXTERIEUR --> DMZ port 8181 renvoyé vers le port 80 de la machine
plan adressage 192.168.1.0/C
- EXTERIEUR --> LAN RIEN N'ENTRE
- INTERIEUR --> DMZ uniquement si besoin
- INTERIEUR --> EXTERIEUR soit uniquement les ports nécessaires (80 /
25/ 110 / 443 / 53 en TCP) soit tout "mode diode"
De plus tes postes sont disposés derriere un firewall qui doit
obligatoirement faire de la NAT (translation d'adresse) afin qu'ils ne
soient pas visible du net. Bien que pas précisé dans ton message je
suppose qu'il le fasse mais c'est juste pour mémoire car j'ai déja vu ce
genre de conf chez des clients .... !!!!
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
Le role du proxy est plus de faire du controle d'URL et du cache que de
sécuriser à proprement parler.
Oilou n'hésites pas a poster des détails si tu veux plus d'infos ou mail
en direct
A+
Seb
"Santino" a écrit dans le message de news:
4235da91$0$19324$Bonjour à tous,
J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local
est aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous
les équipements sont sur le même réseau IP, sauf évidemment le routeur
Oleane qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans
la mesure où les postes clients ont finalement accès directement à
Internet. Est ce que ce genre d'architecture nécessite un proxy ?
Avez-vous des exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui
ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
D'avance merci !
Laurent
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut aussi
un bon antivirus cad PAS DE NORTON !!! ;)
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut aussi
un bon antivirus cad PAS DE NORTON !!! ;)
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut aussi
un bon antivirus cad PAS DE NORTON !!! ;)
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il
faut aussi un bon antivirus cad PAS DE NORTON !!! ;)
bonjour,
questions de débutant, mais je les pose quand même.
En quoi est-il à éviter ?
Quelle alternative ?
Merci
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il
faut aussi un bon antivirus cad PAS DE NORTON !!! ;)
bonjour,
questions de débutant, mais je les pose quand même.
En quoi est-il à éviter ?
Quelle alternative ?
Merci
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il
faut aussi un bon antivirus cad PAS DE NORTON !!! ;)
bonjour,
questions de débutant, mais je les pose quand même.
En quoi est-il à éviter ?
Quelle alternative ?
Merci
Manu nous a déclaré...Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il
faut aussi un bon antivirus cad PAS DE NORTON !!! ;)
bonjour,
Bonjour,questions de débutant, mais je les pose quand même.
En quoi est-il à éviter ?
Usine à gaz pleine d'options inutiles voires bloquantesQuelle alternative ?
Antivirus gratuit et néanmoins de qualité, Antivir par exemple
(http://www.free-av.com/)Merci
Padkoi
Manu nous a déclaré...
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il
faut aussi un bon antivirus cad PAS DE NORTON !!! ;)
bonjour,
Bonjour,
questions de débutant, mais je les pose quand même.
En quoi est-il à éviter ?
Usine à gaz pleine d'options inutiles voires bloquantes
Quelle alternative ?
Antivirus gratuit et néanmoins de qualité, Antivir par exemple
(http://www.free-av.com/)
Merci
Padkoi
Manu nous a déclaré...Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il
faut aussi un bon antivirus cad PAS DE NORTON !!! ;)
bonjour,
Bonjour,questions de débutant, mais je les pose quand même.
En quoi est-il à éviter ?
Usine à gaz pleine d'options inutiles voires bloquantesQuelle alternative ?
Antivirus gratuit et néanmoins de qualité, Antivir par exemple
(http://www.free-av.com/)Merci
Padkoi
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
bonjour,
questions de débutant, mais je les pose quand même.
En quoi est-il à éviter ?
Quelle alternative ?
Merci
--
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
bonjour,
questions de débutant, mais je les pose quand même.
En quoi est-il à éviter ?
Quelle alternative ?
Merci
--
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
Enfin toute cette sécurité évoquée ne doit pas faire oublier qu'il faut
aussi un bon antivirus cad PAS DE NORTON !!! ;)
bonjour,
questions de débutant, mais je les pose quand même.
En quoi est-il à éviter ?
Quelle alternative ?
Merci
--
Ceci est une signature automatique de MesNews.
Site : http://www.mesnews.net
NORTON > 1/ Pas de detection des TROJAN et SPYWARE (sauf depuis un mois !!!???)
coté spyware > SpywareGuard pour le préventif
(Spybot + spywareblaster) & Adaware pour
contrôle si besoin de curatif
2/ Utilise 20% de CPU pour détecter que 90% des virus
Sur mon 2200+, j'utilse l'analyse des disque locaux certaines nuits,
3/ Se mets a jour quand il y pense et il y pense pas souvent ;)
On sait que symantec mets à disposition ses nouvelles MAJ, tous les
ALTERNATIVE :
1/ SOPHOS ANTIVIRUS pour les entreprises
suis un particulier...
2/ AVG / www.grisoft.com (free edition) OU KAPERSKY
Les logiciels AV gratuits n'ont pas les félicitations de la presse
3/ PCCILLIN
oilou
Mais STP n'INSTALLE PAS CETTE M..... DE NORTON !!!!
Seb-o-stop-les-produtis-foireux
NORTON > 1/ Pas de detection des TROJAN et SPYWARE (sauf depuis un mois !!!???)
coté spyware > SpywareGuard pour le préventif
(Spybot + spywareblaster) & Adaware pour
contrôle si besoin de curatif
2/ Utilise 20% de CPU pour détecter que 90% des virus
Sur mon 2200+, j'utilse l'analyse des disque locaux certaines nuits,
3/ Se mets a jour quand il y pense et il y pense pas souvent ;)
On sait que symantec mets à disposition ses nouvelles MAJ, tous les
ALTERNATIVE :
1/ SOPHOS ANTIVIRUS pour les entreprises
suis un particulier...
2/ AVG / www.grisoft.com (free edition) OU KAPERSKY
Les logiciels AV gratuits n'ont pas les félicitations de la presse
3/ PCCILLIN
oilou
Mais STP n'INSTALLE PAS CETTE M..... DE NORTON !!!!
Seb-o-stop-les-produtis-foireux
NORTON > 1/ Pas de detection des TROJAN et SPYWARE (sauf depuis un mois !!!???)
coté spyware > SpywareGuard pour le préventif
(Spybot + spywareblaster) & Adaware pour
contrôle si besoin de curatif
2/ Utilise 20% de CPU pour détecter que 90% des virus
Sur mon 2200+, j'utilse l'analyse des disque locaux certaines nuits,
3/ Se mets a jour quand il y pense et il y pense pas souvent ;)
On sait que symantec mets à disposition ses nouvelles MAJ, tous les
ALTERNATIVE :
1/ SOPHOS ANTIVIRUS pour les entreprises
suis un particulier...
2/ AVG / www.grisoft.com (free edition) OU KAPERSKY
Les logiciels AV gratuits n'ont pas les félicitations de la presse
3/ PCCILLIN
oilou
Mais STP n'INSTALLE PAS CETTE M..... DE NORTON !!!!
Seb-o-stop-les-produtis-foireux
Merci pour ta réponseNORTON >> 1/ Pas de detection des TROJAN et SPYWARE (sauf depuis un mois
!!!???)
coté spyware > SpywareGuard pour le préventif(Spybot + spywareblaster) & Adaware pour
contrôle si besoin de curatif2/ Utilise 20% de CPU pour détecter que 90% des virus
Sur mon 2200+, j'utilse l'analyse des disque locaux certaines nuits,
donc suis peu regardant sur le fait qu'il pompe 20-50-90 % du CPU, il
prends ce qu'il a besoin, je dors.
J'utilise de temps en temps des antivirus en ligne gratuits
(concurents du miens) et pas de bête curieuse lors de l'analyse.3/ Se mets a jour quand il y pense et il y pense pas souvent ;)
On sait que symantec mets à disposition ses nouvelles MAJ, tous les
mercredi. L'option MAJ sur ma bécanne est opérationnelle
Les logiciels AV gratuits n'ont pas les félicitations de la presse
d'une façon générale.
Mais STP n'INSTALLE PAS CETTE M..... DE NORTON !!!!
Trop tard, mais le seul reproche que j'apporterais à Norton Internet
Sécurity, c'est la partie firewall, qui est très déroutante.
Merci pour ta réponse
NORTON >> 1/ Pas de detection des TROJAN et SPYWARE (sauf depuis un mois
!!!???)
coté spyware > SpywareGuard pour le préventif
(Spybot + spywareblaster) & Adaware pour
contrôle si besoin de curatif
2/ Utilise 20% de CPU pour détecter que 90% des virus
Sur mon 2200+, j'utilse l'analyse des disque locaux certaines nuits,
donc suis peu regardant sur le fait qu'il pompe 20-50-90 % du CPU, il
prends ce qu'il a besoin, je dors.
J'utilise de temps en temps des antivirus en ligne gratuits
(concurents du miens) et pas de bête curieuse lors de l'analyse.
3/ Se mets a jour quand il y pense et il y pense pas souvent ;)
On sait que symantec mets à disposition ses nouvelles MAJ, tous les
mercredi. L'option MAJ sur ma bécanne est opérationnelle
Les logiciels AV gratuits n'ont pas les félicitations de la presse
d'une façon générale.
Mais STP n'INSTALLE PAS CETTE M..... DE NORTON !!!!
Trop tard, mais le seul reproche que j'apporterais à Norton Internet
Sécurity, c'est la partie firewall, qui est très déroutante.
Merci pour ta réponseNORTON >> 1/ Pas de detection des TROJAN et SPYWARE (sauf depuis un mois
!!!???)
coté spyware > SpywareGuard pour le préventif(Spybot + spywareblaster) & Adaware pour
contrôle si besoin de curatif2/ Utilise 20% de CPU pour détecter que 90% des virus
Sur mon 2200+, j'utilse l'analyse des disque locaux certaines nuits,
donc suis peu regardant sur le fait qu'il pompe 20-50-90 % du CPU, il
prends ce qu'il a besoin, je dors.
J'utilise de temps en temps des antivirus en ligne gratuits
(concurents du miens) et pas de bête curieuse lors de l'analyse.3/ Se mets a jour quand il y pense et il y pense pas souvent ;)
On sait que symantec mets à disposition ses nouvelles MAJ, tous les
mercredi. L'option MAJ sur ma bécanne est opérationnelle
Les logiciels AV gratuits n'ont pas les félicitations de la presse
d'une façon générale.
Mais STP n'INSTALLE PAS CETTE M..... DE NORTON !!!!
Trop tard, mais le seul reproche que j'apporterais à Norton Internet
Sécurity, c'est la partie firewall, qui est très déroutante.
