Discussion :

[ludo3775]

Bonjour,

J'aurai besoin d'avis sur l'aspect sécurité d'une configuration réseau.
Idéalement, j'aurai aimé mettre en place la configuration suivante :

LAN2 192.168.1.X
^
||
v
DMZ 192.168.0.200 (Ipfire 2 NIC)
^
||
v
box/routeur DSL
^
||
v
SWITCH
^
||
v
LAN1 192.168.0.X

Le but est d'isoler les deux LAN en gérant des sécurités de façon plus précise pour le LAN2 avec un parefeu ipfire. Le LAN1 est sécurisé uniquement par les règles du parefeu intégré de la box. Le Parefeu ipfire est déclaré en DMZ sur la box pour renvoyer la gestion de la sécurité à ce niveau pour le LAN2.

Malheureusement, j'ai un soucis de batiment qui fait que ma box et le parefeu ne peuvent pas etre au meme etage et j'ai un seul cable possible pour relier les deux étages. Du coup je me vois contraint de faire qq chose comme çà :

LAN2 192.168.1.X
^
||
v
DMZ 192.168.0.200 (Ipfire 2 NIC)
^
||
v
SWITCH<==> LAN1 192.168.0.X
^
||
v
box DSL

Du coup le DMZ et le LAN1 se retrouve branché sur le switch qui est en cascade de la box. Pensez-vous que çà change quelque chose en terme de sécurité ? Je précise que le switch n'est pas managable.

Merci pour vos éclairages.

[JML19]

Bonsoir

Que le pare feux et le LAN1 se trouvent sur le même Switch ne change rien, puisque celui ci ne sécurise pas le LAN1.

[ludo3775]

Merci pour cet avis.

Je m'inquiète car j'ai lu que dans cette configuration, si le DMZ est "corrompu", alors le LAN1 sera accessible. Néanmoins, ceci doit être vrai quelque soit la structure que je présente je soupçonne.
Donc tout le risque tient à la sécurité de mon DMZ, c'est bien çà ?

[JML19]

Merci pour cet avis.

Je m'inquiète car j'ai lu que dans cette configuration, si le DMZ est "corrompu", alors le LAN1 sera accessible. Néanmoins, ceci doit être vrai quelque soit la structure que je présente je soupçonne.
Donc tout le risque tient à la sécurité de mon DMZ, c'est bien çà ?

Bonjour

Effectivement en DMZ si ton outil de protection est défaillant il y a des risques pour le reste du réseau quelque soit la configuration.

Extrait du site commentcamarche.

La politique de sécurité mise en œuvre sur la DMZ est généralement la suivante :

•Traffic du réseau externe vers la DMZ autorisé ;
•Traffic du réseau externe vers le réseau interne interdit ;
•Traffic du réseau interne vers la DMZ autorisé ;
•Traffic du réseau interne vers le réseau externe autorisé ;
•Traffic de la DMZ vers le réseau interne interdit ;
•Traffic de la DMZ vers le réseau externe refusé.

[ludo3775]

Encore merci