Discussion :

[areku]

Salut à tous,

j'aurais besoin d'un peu d'aide concernant la mise en place d'un extranet.
Les données du problème sont les suivantes : on va mettre en place un intranet documentaire (à base de Liferay et d'un serveur GED) d'un coté, de l'autre, il y a le site internet de l'organisme en question. Nous voulons "simplement" mettre un lien sur le site internet qui redirige vers l'intranet, donc finalement un extranet.

Je bloque un peu au niveau architecture de tout ça et sécurité.

Je pensais, du côté intranet : le serveur d'application (avec le Liferay), et un serveur web Apache en front-end, accessible de l'extérieur qui redirige vers le serveur d'application.
Du côté internet, sur le site, un lien qui pointe vers le serveur web Apache de l'intranet.
Est-ce une bonne solution ? Est-ce que je n'oublie rien ? Qu'en-est-il en terme de sécurité à mettre en place ? DMZ ? SSL ? Ipsec ? autres ... ?

Merci pour votre aide

[Vil'Coyote]

il te faut une dmz (pas obligatoirement mais c'est préférable) pour ton serveur apache qui servira en réalité de reverse proxy ainsi qu'une adresse ip publique. Si ton entreprise ne dispose que d'une adresse ip publique et aucun autre hébergement une simple redirection NAT depuis l'adresse et le port de connexion pourra suffire.


dans l'ensemble le schéma :

site internet > reverse proxy > serveur interne

là ou ça pêche un peu c'est en terme de sécurité, étant donné que aucune sécurité d'identification n'est mise en place entre ton site internet / ton reverse proxy / ton intra je pense que n'importe qui peut accéder à n'importe quoi du moment qu'il connaisse ton adresse publique lié à ton serveur apache.

il faudrait donc voir soit pour de la gestion de connexion lié au compte du site internet, soit voir pour du sso ou autre.

dans mon cas, j'utilise un système de jeton et identification croisé. mes comptes utilisateur internet sont également présent sur mon SI. de là mon extranet utilise un lien d'identification sur mon serveur apache. ce dernier execute une script de vérification en php me permettant de savoir si oui ou non l'utilisateur dispose des droits suffisant pour accéder aux informations. puis s'en suis une redirection vers les documents ou vers une page d'erreur.

[areku]

Merci Vil'Coyote pour cette réponse.

Pour ce qui est de la sécurité il y aura effectivement une authentification simple au niveau de l'intranet, basé sur un AD ou un serveur LDAP je pense.
Si on met plutot du SSO, ça fonctionnera pour les utilisateurs internes, mais pour les utilisateurs externes ? Eux seront du coup obligés de s'identifier avec login/pwd c'est ça ? pourquoi pas.

Éventuellement mettre la connexion extranet en https nan ?

Pour la dmz pourquoi pas, faut que je me renseigne voir si c'est possible et pas trop complexe à mettre en place ^^.

[areku]

Concernant la dmz, si je ne met que le serveur Apache (reverse proxy) dedans, cela n'a pas d'intéret si ? Ca fonctionnerait ? Ou alors il faudrait mettre le serveur Apache ainsi que le serveur d'applications ? (ça me parait bizarre ...)

[Vil'Coyote]

comme je te l'ai indiqué le but de la dmz va être de mettre ton serveur visible depuis l'extérieur via une adresse ip publique qui pourrais lui être dédié. ma 2eme solution été de toute manière d'avoir une adresse ip publique sinon comment orienté vers on réseau? et via les rgle de NA du firewall de ta boite réorienté le flux par exemple du port 80 vers ton serveur apache mais en terme de sécurité je préfère la 1er solution.

Dans les deux cas, il te faut au minimum une adresse ip publique ensuite la différence réside dans la sécurité. soit tu pointe vers l'adresse de ta boite soit vers une adresse spécifique en cas d'attaque je recommande tout de même la solution de la dmz plus simple à couper et moins dangereuse dans l'ensemble.

pour ta question l'utilisation de la dmz avec un seule serveur marche bien. le serveur d'appli n'a pas besoin d'être dans la dmz il s'agit ensuite de régler le nat pour que la dmz via le serveur en question puisse accéder à ton réseau interne via les restriction de rigueur. port spécifique ...

[areku]

Vil'Coyote merci pour ces précisions, je commence à y voir un peu plus clair ^^.

Pour l'ip publique je suis d'accord, c'est un minimum pour pouvoir accéder au serveur Apache de l'extérieur.