J'ai un réseau d'entreprise relativement simple : 1 PDC NT4, et une
quinzaine de postes 2000 / XP rattachés à ce domaine. Le réseau local est
aujourd'hui relié à internet via une liaison Oleane + Firewall. Tous les
équipements sont sur le même réseau IP, sauf évidemment le routeur Oleane
qui est derrière le firewall.
En terme de sécurité, je ne suis pas persuadé que ça soit l'idéal, dans la
mesure où les postes clients ont finalement accès directement à Internet.
Est ce que ce genre d'architecture nécessite un proxy ? Avez-vous des
exemples d'architectures similaires ?
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui ci
étant accessible de l'extérieur, le port 80 ayant été ouvert sur le routeur
et le firewall. Applicativement, le serveur web est plutôt bien sécurisé.
Cependant, cela constitut il une faille de sécurité sur le réseau ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Christophe Casalegno
Santino wrote:
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le routeur et le firewall. Applicativement, le serveur web est plutôt bien sécurisé. Cependant, cela constitut il une faille de sécurité sur le réseau ?
Tout point d'entrée direct sur le lan constitue une faiblesse sécuritaire. Si vous avez des serveurs publics, il est important de placer ces derniers dans une DMZ (zone démilitarisée).
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui ci
étant accessible de l'extérieur, le port 80 ayant été ouvert sur le
routeur et le firewall. Applicativement, le serveur web est plutôt bien
sécurisé. Cependant, cela constitut il une faille de sécurité sur le
réseau ?
Tout point d'entrée direct sur le lan constitue une faiblesse sécuritaire.
Si vous avez des serveurs publics, il est important de placer ces derniers
dans une DMZ (zone démilitarisée).
D'autre part, j'ai implémenté un serveur web sur le réseau local, celui ci étant accessible de l'extérieur, le port 80 ayant été ouvert sur le routeur et le firewall. Applicativement, le serveur web est plutôt bien sécurisé. Cependant, cela constitut il une faille de sécurité sur le réseau ?
Tout point d'entrée direct sur le lan constitue une faiblesse sécuritaire. Si vous avez des serveurs publics, il est important de placer ces derniers dans une DMZ (zone démilitarisée).
Tout point d'entrée direct sur le lan constitue une faiblesse sécuritaire. Si vous avez des serveurs publics, il est important de placer ces derniers dans une DMZ (zone démilitarisée).
amicalement,
Cela reproduit le problème sur la DMZ. Penser a placer le serveur de données (ou backup si tu en as un) sur un autre segment physique relié au firewall. En effet que l'attaque puisse etre lancée du LAN en réalité on s'en moque un, l'interet étant que la zone comprise soit limitée et surtout très loin des données. En second plan le site web pour l'image de marque de la boite (se faire pirater sa page d'accueil c'est moyen :/).
amicalement,
Seb :)
Tout point d'entrée direct sur le lan constitue une faiblesse sécuritaire.
Si vous avez des serveurs publics, il est important de placer ces derniers
dans une DMZ (zone démilitarisée).
amicalement,
Cela reproduit le problème sur la DMZ. Penser a placer le serveur de
données (ou backup si tu en as un) sur un autre segment physique relié
au firewall. En effet que l'attaque puisse etre lancée du LAN en réalité
on s'en moque un, l'interet étant que la zone comprise soit limitée et
surtout très loin des données. En second plan le site web pour l'image
de marque de la boite (se faire pirater sa page d'accueil c'est moyen
:/).
Tout point d'entrée direct sur le lan constitue une faiblesse sécuritaire. Si vous avez des serveurs publics, il est important de placer ces derniers dans une DMZ (zone démilitarisée).
amicalement,
Cela reproduit le problème sur la DMZ. Penser a placer le serveur de données (ou backup si tu en as un) sur un autre segment physique relié au firewall. En effet que l'attaque puisse etre lancée du LAN en réalité on s'en moque un, l'interet étant que la zone comprise soit limitée et surtout très loin des données. En second plan le site web pour l'image de marque de la boite (se faire pirater sa page d'accueil c'est moyen :/).
amicalement,
Seb :)
Christophe Casalegno
Sebastien Vincent wrote:
Cela reproduit le problème sur la DMZ. Penser a placer le serveur de données (ou backup si tu en as un) sur un autre segment physique relié
Oui, après c'est une question de moyens, on obtient par exemple de bien meilleurs résultats avec 2 filtres et plaçant les 2 machines (web et données par exemple) sur 2 dmz différentes protégées par 2 filtres différents.
Ainsi même en cas de compromission d'un filtre, le compartimentage de la sécurité reste assuré, etc... Reste un problème majeur : les moyens et le temps. Externaliser complètement certains services sur des bastions peut également représenter une solution de choix, surtout pour les petits budjets.
Cela reproduit le problème sur la DMZ. Penser a placer le serveur de
données (ou backup si tu en as un) sur un autre segment physique relié
Oui, après c'est une question de moyens, on obtient par exemple de bien
meilleurs résultats avec 2 filtres et plaçant les 2 machines (web et
données par exemple) sur 2 dmz différentes protégées par 2 filtres
différents.
Ainsi même en cas de compromission d'un filtre, le compartimentage de la
sécurité reste assuré, etc... Reste un problème majeur : les moyens et le
temps. Externaliser complètement certains services sur des bastions peut
également représenter une solution de choix, surtout pour les petits
budjets.
Cela reproduit le problème sur la DMZ. Penser a placer le serveur de données (ou backup si tu en as un) sur un autre segment physique relié
Oui, après c'est une question de moyens, on obtient par exemple de bien meilleurs résultats avec 2 filtres et plaçant les 2 machines (web et données par exemple) sur 2 dmz différentes protégées par 2 filtres différents.
Ainsi même en cas de compromission d'un filtre, le compartimentage de la sécurité reste assuré, etc... Reste un problème majeur : les moyens et le temps. Externaliser complètement certains services sur des bastions peut également représenter une solution de choix, surtout pour les petits budjets.
