Discussion :

[pro132000]

Bonjour, j'ai un soucis pour la gestion de la sécurité dans un réseau qu'il faut mettre en place donc pour le moment j'analyse le tout d'abord sur papier pour ressortir les différents schémas logiques.

j'ai une architecture comprenant une DMZ, un réseau local, un pare-feu et un proxy représentée comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
                      Internet 
                           |
                           |
  eth0=195.24.215.2|                                          192.168.2.0/27
              pare feu<===> proxy/reverse proxy <===> DMZ (web,ftp,dns,etc)
                           |  195.24.215.3
                           |
                           |
                  192.168.1.0/24 
              les pc du LAN interne

l'aspect configuration de la sécurité doit se faire avec iptables.

1-ma question est de savoir si je ne peux pas utiliser un firewall qui jouera en même temps le rôle de proxy? quel choix me conseillez-vous car je ne sais pas trop quel aspect de la sécurité est meilleure?

2-Dans la DMZ, il n'y a pas d'adresse publique car je ne veux pas qu'on accède directement aux serveurs sous peine de compromettre un service. donc le but de mon proxy est de masquer les adresses de mes serveurs sur internet. pour éviter un gaspillage d'adresse publique, je me propose un adressage privé dans la DMZ et j'opte pour que le proxy ait une adresse publique et qu'il l'utilisera pour accéder à internet en passant par l'interface eth0 du firewall.
pour permettre les communication proxy-INTERNET et INTERNET-proxy, je pense que le proxy doit utiliser son adresse publique en passant par le l'interface eth0 du firewall.
pour permettre cette communication, je ne sais pas trop s'il me faut faire un FORWARD au niveau du firewall

3-on me demande que les utilisateurs du LAN accèdent à l'internet mais on refuse que toute communication venant d'internet accède au LAN et je me demande si en le faisant les requêtes initiées dans le lan pour internet retournerons des réponses si on bloque le trafic INTERNET-LAN.

4- j'ai un souci avec cette architecture, la communication LAN-DMZ passe par le proxy et lors du chemin inverse donc DMZ-LAN, est que ce le LAN recevra les réponses de la DMZ à travers l'adresse ip publique du proxy ou alors elle conservera son adresse propre donc privée?

j'espère avoir été explicite pour mon problème et merci d'avance pour votre attention.

cordialement

[Cybher]

salut,

1) tout est possible, tu peux utiliser juste un firewall (voir notemment le point 2 si ton proxy est juste pour la protection de ta DMZ et pas pour que tes utilisateurs qui sortent sur internet)

2) combien de machines dans ta DMZ? as tu plusieurs fois le meme service? si ce n'est pas le cas, le reverse proxy est inutile. tu attaqueras l'adresse publique de ton firewall qui nattera vers les adresses privées de ta DMZ

3) non , pas de soucis si ton firewall est stateful

4) tu peux faire une communication sans passer par le proxy

[pro132000]

merci de prendre la peine de me répondre

salut,

1) tout est possible, tu peux utiliser juste un firewall (voir notemment le point 2 si ton proxy est juste pour la protection de ta DMZ et pas pour que tes utilisateurs qui sortent sur internet)

d'accord, et puis on m'a demandé de coupler firewall/proxy. si je n'utilise pas un proxy est ce que je cause une brèche de sécurité étant donné que l'adresse publique de mon firewall masquera toutes les adresses privées ?

2) combien de machines dans ta DMZ? as tu plusieurs fois le meme service? si ce n'est pas le cas, le reverse proxy est inutile. tu attaqueras l'adresse publique de ton firewall qui nattera vers les adresses privées de ta DMZ

dans ma DMZ j'ai 4 serveurs (web, ftp, dns, antivirus) et je n'ai pas plusieurs fois le même service.

quand le firewall natte vers les adresses privées de ma DMZ, comment saura -t-il vers quel serveur envoyer la requete si il n'est pas précisé le port (service) auquel on veut accéder?

ce n'est pas une fonction du reverse proxy? je pensais faire un nattage avec une redirection des ports pour natter vers le serveur adéquat: je parle de la chaine prerouting avec la gestion de port. je pensais qu'en l'utilisant, notre firewall faisait office de reverse proxy car je pense qu'un service d'internet qui fait une requete à un serveur de ma DMZ notifiera le port (service) auquel il veut accéder et ainsi le firewall/proxy saura vers quel serveur envoyer la requête étant donné qu'il y en a plusieurs.

si ma préoccupation est floue, essayer s'il vous plait de m'expliquer le principe du reverse proxy car j'ai l'impression que je me trompe sur sa fonctionnalité et son utilisation.

3) non , pas de soucis si ton firewall est stateful

4) tu peux faire une communication sans passer par le proxy

ok merci

[Cybher]

salut,

il y a une chose que je ne comprend pas : en quoi un serveur DNS et antivirus sont ils utiles pour tes postes non connectés sur ton LAN?

[pro132000]

salut,

il y a une chose que je ne comprend pas : en quoi un serveur DNS et antivirus sont ils utiles pour tes postes non connectés sur ton LAN?

merci de me consacrer du temps.
pour le serveur DNS, c'est parce que les pc du lan vont accéder aux serveurs de la DMZ à partir de leurs noms et pour les utilisateurs d'internet, il ferons leur requete vers nos serveurs à travers leurs noms. tous les pc pour se connecter à internet et atteindre les serveurs distants utiliseront leur nom pour les joindre et donc il faut une resolution de nom.
le serveur antivirus c'est pour que tous les pc fassent leur mises à jour antivirus. ces deux serveurs sont dans la DMZ parce qu'on y accepte des accès publics.

[Cybher]

salut,

pour le serveur DNS, il ne sert à rien de le mettre en DMZ. Pour les PC sur internet, ils utiliseront un DNS Public.
derriere ils arriveront donc sur ton IP publique, qui nattera vers la bonne ip privée en fonction du port

[pro132000]

d'accord mais quand on met un serveur dns interne au sein d'une entreprise n'est ce pas parce qu'il y a par exemple des serveurs internes auxquels on voudrait permettre l'accès par le nom?

au fait, je reviens sur ma question en ce qui concerne le role d'un reverse proxy comme j'avais posté un peu plus haut

quand le firewall natte vers les adresses privées de ma DMZ, comment saura -t-il vers quel serveur envoyer la requete si il n'est pas précisé le port (service) auquel on veut accéder? ce n'est pas une fonction du reverse proxy? je pensais faire un nattage avec une redirection des ports pour natter vers le serveur adéquat: je parle de la chaine prerouting avec la gestion de port avec iptables. je pensais qu'en l'utilisant, notre firewall faisait office de reverse proxy car je pense qu'un service d'internet qui fait une requete à un serveur de ma DMZ notifiera le port (service) auquel il veut accéder et ainsi le firewall/proxy saura vers quel serveur envoyer la requête étant donné qu'il y en a plusieurs.

si ma préoccupation est floue, essayer s'il vous plait de m'expliquer le principe du reverse proxy car j'ai l'impression que je me trompe sur sa fonctionnalité et son utilisation.

[Cybher]

si. mais tes serveurs en dmz sont en quelques sortes internes

un reverse proxy c'est surtout utile quand tu as plusieurs équipements sur le meme service. par exemple , deux serveurs web alors que tu as une seule IP publique, tu renvoie sur ton reverse proxy qui lui en fonction du nom va t'aiguiller vers les bon serveur. Bon apres tu peux aussi rajouter une couche sécurité sur ton reverse proxy

quand on met un serveur en DMZ, en général c'est plus pour des accès depuis l'extérieur, ce qui n'est pas le cas pour ton antivirus ni pour le dns

[pro132000]

si. mais tes serveurs en dmz sont en quelques sortes internes

un reverse proxy c'est surtout utile quand tu as plusieurs équipements sur le meme service. par exemple , deux serveurs web alors que tu as une seule IP publique, tu renvoie sur ton reverse proxy qui lui en fonction du nom va t'aiguiller vers les bon serveur. Bon apres tu peux aussi rajouter une couche sécurité sur ton reverse proxy

quand on met un serveur en DMZ, en général c'est plus pour des accès depuis l'extérieur, ce qui n'est pas le cas pour ton antivirus ni pour le dns

si je te comprends bien, dans mon cas un serveur dns pour les communication externes ne m'aidera donc pas puisque j'utiliserai un dns public mais j'ai une question dans ce cas: lorsque les requêtes viennent d'internet pour un de mes serveurs, la requête vient avec le nom je pense. donc elle doit être redirigée vers mon serveur DNS qui lui, doit donner l'adresse ip du dit serveur auquel on veut accéder. c'est un peu comme cela que je voyais les choses.

la couche sécurité sur le reverse proxy peut être quoi par exemple? le fait que le firewall filtre les paquets et les les flux que je gère ne pourraient pas suffire pour le moment?

[Cybher]

non, elle vient sur ton ip publique apres avoir fait la résolution de nom depuis un serveur dns public
ensuite c'est ton firewall qui redirige vers la bonne machine (mais lui se base sur les ports)

[pro132000]

non, elle vient sur ton ip publique apres avoir fait la résolution de nom depuis un serveur dns public
ensuite c'est ton firewall qui redirige vers la bonne machine (mais lui se base sur les ports)

d'accord je vois. quel est donc l'intérêt d'un dns interne si ce n'est pour accéder aux serveurs locaux par leur nom? et pourquoi dans certaines architectures, on met le dns dans la dmz? quel est l'intérêt? ce dns là agit-il comme les serveurs dns publics dont tu parles?sinon quel peut être la motivation?

[pro132000]

salut, ouh la, j'ai résolu mon problème il y a fort longtemps et j'ai oublié de le notifier dans le forum.

pour finir je me suis limité juste à une firewall sous ubuntu et apparemment certaines options de iptables le font fonctionner comme un proxy/reverse proxy. j'ai écrit un script pour ma configuration qui a fonctionné comme je le souhaitais donc je tiens a remercier cybher pour son aide.