Discussion :

[lalebarde]

Bonjour,

Je ne suis pas un expert réseau, mais je dois mettre en place des serveurs web et des serveurs d'applications spécifiques exposées avec ZeroMQ tunellé avec SSH, avec une double pile ipv6/ipv4.

Ici, j'utilise FreeBSD et des jails, mais ceux qui ne connaissent pas peuvent considérer un frontal web et des serveurs back-end ; c'est équivalent pour la suite.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
WEB -------------- FreeBSD -------------- Jail_server
                   Host        |--------- Jail_www_framework
                               |--------- Jail_www_database
                               |--------- Jail_smtp
                               |--------- Jail_application

Jail_application est une application critique et ne sert que sur liste blanche.

Questions :

1. Est-ce que la double pile IPv4/IPv6 est nécessaire ? Est-ce que je peux me restreindre à l'IPv6 sans perdre des clients potentiels ?
2. Est-ce que je dois utiliser une interface réseau virtuelle pour isoler mes jails sur un réseau privé en faisant du NAT ? Ou bien est-ce équivalent d'avoir l'hôte et les jails sur un même sous réseau avec les règles pf adéquates ?
3. Est-ce qu'il est préférable de mettre mon application critique Jail_application sur un hôte séparé ou bien non si je mets en place des règles pf adéquates ?
4. Quoi d'autre ?

Des liens pertinents et récents sont les bienvenus.

[Graimbault]

Bonsoir lalebarde,


Je ne suis pas sûr de bien comprendre ton schéma donc je tiens à commencer par exposer ce que j''en ai compris puisque, évidemment, ca influe sur mes réponses.
Un hôte BSD qui héberge 5 services/serveurs en jail.
Donc c'est, selon moi, différent de:

un frontal web et des serveurs back-end

Ceci étant dit, je vais maintenant essayer de répondre aux questions que tu te poses:

Est-ce que la double pile IPv4/IPv6 est nécessaire ? Est-ce que je peux me restreindre à l'IPv6 sans perdre des clients potentiels ?

Est-ce que tout le monde (les utilisateurs des serveurs) a une adresse IPv6? Si oui, alors en effet je ne vois pas l'intérêt de la pile IPv4, sinon évidemment qu'il faut la laisser.

Est-ce que je dois utiliser une interface réseau virtuelle pour isoler mes jails sur un réseau privé en faisant du NAT ? Ou bien est-ce équivalent d'avoir l'hôte et les jails sur un même sous réseau avec les règles pf adéquates ?

En tant normal on essaie effectivement d'avoir une passerelle/reverse-proxy avec au moins une interface publique (inter--) et une interface privée (intra--). Dans quel cas le NAT est évidemment de mise!
Dans ton cas, puisqu'il n'y a qu'une seule machine, je ne vois pas l'intérêt de vouloir passer par des interfaces virtuelles pour ensuite nater puisque le routage se fera de la même façon. Je me contenterai donc des règles pf qui vont bien dans cette configuration, ce qui côté performance t'évitera l'opération de routage.

Est-ce qu'il est préférable de mettre mon application critique Jail_application sur un hôte séparé ou bien non si je mets en place des règles pf adéquates ?

Il est toujours conseillé de séparer (si les moyens le permettent) de cloisonner chaque service réseau sur des serveurs différents et des isoler pour éviter les attaques par rebond. Je te conseille donc, au minimum, d'effectivement placer ton application critique sur un hôté séparé. On ne parle pas encore de solution de sauvegarde, de redondance, de load-balancing, ...

Quoi d'autre ?

Et mis à part le fait que les services soient en prison, as-tu vérifier qu'il n'y ai pas d'erreur / de failles de configuration. Ton système est-il à jour? Les différents patchs/correctifs de sécurité installés? ...



J'espère que mes réponses t'aideront dans ta configuration.



Cordialement,

Graimbault

[lalebarde]

Merci beaucoup Graimbault pour tes réponses très complètes.

Je m’aperçois, sauf erreur, qu'avec ipv4, je vais de toute façon être obligé d'utiliser une interface interne car je ne dispose que d'une seule adresse publique. Est-ce qu'on peut avoir deux architectures radicalement différentes en ipv4 et ipv6, en l’occurrence, je n'aurais pas besoin d'utiliser l'interface intermédiaire pour ipv6) ?

Ou bien, est-ce qu'avec pf ou autre chose, je peux transmuer (j'utilise un barbarisme exprès car je ne sais pas quel terme utiliser sans faire un contre-sens) le flux ipv4 venant du web en ipv6 et ainsi avoir tous mes back-end ou jails en ipv6 uniquement ?