Discussion :

[grinder59]

Bonjour,

Je dispose d'un réseau sur lequel j'ai mon serveur web qui comporte des applications intra et extranet. Mon but est de protéger mes scripts intranet (qui ne doivent pas être exéctués depuis l'extérieur) et je cherche 2 petites confirmations concernant la récupération des IP :

affirmation 1 : si je suis dans l'intranet, l'IP du client (récupérée via $_SERVER['REMOTE_ADDR']) est celle affectée directement à la carte réseau de la machine cliente

affirmation 2 : si je suis sur Internet (hors du réseau), mon IP (récupérée via $_SERVER['REMOTE_ADDR']) est celle de mon proxy ou du routeur qui fournit la connexion web depuis laquelle je me connecte

Question subsidiaire :
N'est-il pas imprudent d'avoir les services Intranet et Extranet sur le même serveur ? Cette façon de faire par l'étude de l'IP client pour distinguer les connexions intra et extra est-elle fiable ? (bien entendu j'utilise aussi les sesssions pour protéger mon système)

[hisy]

Je suis pas un spécialiste réseau ...
Mais pour l'affirmation 1 je nuancerais ... Ce n'est pas l'adresse de la carte reseau ( ou adresse MAC) que tu recupères mais l'IP attribuée par ton reseau à cette machine. Dans la mesure ou tu es sur un reseau DHCP, la machine aura peut être une autre adresse demain.

[grinder59]

exact, j'aurais dû préciser que je suis en adresses fixe. De toutes façons que ce soit en adressage fixe ou pas, l'adresse récupérée est celle de la machine cliente (et pas celle du dns par exemple)

[hisy]

Si tu es en adresse IP Fixe tu dois avoir une plage d'adresse sur laquelle t'appuyer pour identifier les pc intranet.

Tu peux aussi controler l'adresse de provenance de tes visiteurs ...

[Hervé Saladin]

salut,
alors pour la question 1, je suis d'accord avec hisy
pour la question 2, je te répondrais : oui
pour la question 3 :

N'est-il pas imprudent d'avoir les services Intranet et Extranet sur le même serveur ?

Non, si tu fais bien attention à ce que tu fais

Cette façon de faire par l'étude de l'IP client pour distinguer les connexions intra et extra est-elle fiable ?

Pas à 100%. Dans l'hypothèse ou ton code ne contient pas de faille, la fiablilté de cette façon de faire dépend surtout de la configuration du systeme du serveur web et des éléments actifs du réseau (routeurs, passerelles etc ...). En effet, il faut faire bien attention à ce que tout soit bien configuré et à jour (dans ton cas, fais nottament attention aux attaques par smartspoofing et empoisonnement du cache ARP qui se répandent de plus en plus et auxquelles beaucoup de systèmes sont encore vulnérables). Si tes applications sont sensible, une authentification sécurisée (https) serait surement une bonne idée.

[grinder59]

Merci pour vos conseils...

Je suppose qu'il ne faut pas oublier de mettre les serveurs accessibles depuis l'extérieur (mail et web) sur la dmz de mon routeur...

les services ssl pour Linux (Openssl) sont ils garants d'une sécurité correcte pour mon extranet ?