Discussion :

[Zelda4x]

Salut,

J'ai un TP réseau à faire et j'ai beaucoup de mal pour cette question.

On me demande au début du TP ceci : Proposer un emplacement pour la DMZ au sein de l’infrastructure réseau de la mairie. Vous définirez également la liste des serveurs devant migrer vers la DMZ.

Ma réponse : Il faut créer un sous-réseau DMZ séparé du réseau local et isolé de celui-ci. Ce sous-réseau sera également isolé d'Internet par le pare-feu de la mairie. Le sous-réseau DMZ contiendra tout les serveurs de la mairie du réseau 192.168.0.0/26 : Serveur Intranet, Supervision,Authentification, Messagerie, DNS et NAS.

Ensuite le plus dur est de faire un tableau de filtrage.

Voici la consigne : Définir les règles de filtrages basiques permettant aux internautes de consulter les informations stockées au sein de la DMZ et permettant de protéger le réseau interne de la mairie. Vous utiliserez le modèle suivant afin de définir vos règles.


Le schéma du réseau de la mairie : https://image.noelshack.com/fichiers...eau-mairie.png

Ce que j'ai essayé de faire comme tableau de filtrage https://i.gyazo.com/c2a889dfb2e003cb...58c3183f70.png


Par contre je ne sais pas du tout remplir le reste du tableau : Les port origine et destination sont t-il les même ?

Les protocoles sont toujours le TCP ? Car je sais qu'il faut aussi filtrer les protocoles UDP mais je ne sais pas lesquelles...

En gros ce que j'ai compris c'est que le client internaute ne doit pas avoir accès au réseau interne d'où le deny pour toutes les IP du réseau interne, par contre le réseau interne doit avoir accès à internet et donc passer par l'adresse IP du modem SDSL mais après je ne sais pas du tout quoi faire...

Merci d'avance

[Divergent_thinking]

Salut,

Proposer un emplacement pour la DMZ au sein de l’infrastructure réseau de la mairie. Vous définirez également la liste des serveurs devant migrer vers la DMZ.

Ma réponse : Il faut créer un sous-réseau DMZ séparé du réseau local et isolé de celui-ci. Ce sous-réseau sera également isolé d'Internet par le pare-feu de la mairie. Le sous-réseau DMZ contiendra tout les serveurs de la mairie du réseau 192.168.0.0/26 : Serveur Intranet, Supervision,Authentification, Messagerie, DNS et NAS.

Je suis pas totalement d'accord avec ta réponse.
Il faut crée un sous réseau pour séparer ton réseau local et ton réseau DMZ, ok.
Il sera isolé d'internet, pas ok. (Je viens de voir la définition sur wikipedia et il y a confusion.) Il sera justement joinable par internet, pour que les utilisateurs distant puisse se connecter sur le site internet de la Mairie.
Il contiendra tous les serveurs de la mairie, pas ok. Si cette la DMZ est compromise, toutes l'infrastructures de la mairie le sera aussi. Si tu utilises un Serveur Windows, ton AD et ton DNS ne font qu'un, l'AD ne doit jamais être accessible à distance. Ton NAS contient des informations qui ne doivent pas être accessible. Donc dans ta DMZ tu dois avoir le serveur Web de la mairie, ton serveur Messagerie et c'est tout.

Ensuite le plus dur est de faire un tableau de filtrage.

Voici la consigne : Définir les règles de filtrages basiques permettant aux internautes de consulter les informations stockées au sein de la DMZ et permettant de protéger le réseau interne de la mairie. Vous utiliserez le modèle suivant afin de définir vos règles.


Le schéma du réseau de la mairie : https://image.noelshack.com/fichiers...eau-mairie.png

Ce que j'ai essayé de faire comme tableau de filtrage https://i.gyazo.com/c2a889dfb2e003cb...58c3183f70.png


Par contre je ne sais pas du tout remplir le reste du tableau : Les port origine et destination sont t-il les même ?

Les protocoles sont toujours le TCP ? Car je sais qu'il faut aussi filtrer les protocoles UDP mais je ne sais pas lesquelles...

En gros ce que j'ai compris c'est que le client internaute ne doit pas avoir accès au réseau interne d'où le deny pour toutes les IP du réseau interne, par contre le réseau interne doit avoir accès à internet et donc passer par l'adresse IP du modem SDSL mais après je ne sais pas du tout quoi faire...

Alors la question de d'habitude, pour pas te mélanger les pinceaux, je te conseils de mettre en place ta DMZ sur un réseau 10.0.0.0/16 et ton réseau local en 192.168.1.0/24
Histoire de pas faire d'erreur, car ça arrive plutôt souvent.
Bon maintenant il va falloir que tu fasses un tableau ou tu dises ce qui doit être possible.
Qu'est ce qui doit rentrer vers ta DMZ venant d'internet?
Qu'est ce qui ne doit pas rentrer vers ta DMZ venant d'internet?
Qu'est ce qui doit rentrer vers ta DMZ venant du réseau local?
Qu'est ce qui ne doit pas rentrer vers ta DMZ venant du réseau local?
Pareil pour ton réseau local. Puis l'inverse, qu'est ce qui peut sortir de ta DMZ et de ton réseau local.
Une fois que tu as clairement délimité ces questions. Tu pourras faire ton super tableau. (Cela va impliquer de connaitre le La NAT et le port forwarding)

[Zelda4x]

Ok merci de ton retour.
Je prend note de tes remarque et je vais retravailler mon devoir.

[Invité]

Je suis pas totalement d'accord avec ta réponse.
Il faut crée un sous réseau pour séparer ton réseau local et ton réseau DMZ, ok.
Il sera isolé d'internet, pas ok. (Je viens de voir la définition sur wikipedia et il y a confusion.) Il sera justement joinable par internet, pour que les utilisateurs distant puisse se connecter sur le site internet de la Mairie.
Il contiendra tous les serveurs de la mairie, pas ok. Si cette la DMZ est compromise, toutes l'infrastructures de la mairie le sera aussi. Si tu utilises un Serveur Windows, ton AD et ton DNS ne font qu'un, l'AD ne doit jamais être accessible à distance. Ton NAS contient des informations qui ne doivent pas être accessible. Donc dans ta DMZ tu dois avoir le serveur Web de la mairie, ton serveur Messagerie et c'est tout.


Alors la question de d'habitude, pour pas te mélanger les pinceaux, je te conseils de mettre en place ta DMZ sur un réseau 10.0.0.0/16 et ton réseau local en 192.168.1.0/24
Histoire de pas faire d'erreur, car ça arrive plutôt souvent.
Bon maintenant il va falloir que tu fasses un tableau ou tu dises ce qui doit être possible.
Qu'est ce qui doit rentrer vers ta DMZ venant d'internet?
Qu'est ce qui ne doit pas rentrer vers ta DMZ venant d'internet?
Qu'est ce qui doit rentrer vers ta DMZ venant du réseau local?
Qu'est ce qui ne doit pas rentrer vers ta DMZ venant du réseau local?
Pareil pour ton réseau local. Puis l'inverse, qu'est ce qui peut sortir de ta DMZ et de ton réseau local.
Une fois que tu as clairement délimité ces questions. Tu pourras faire ton super tableau. (Cela va impliquer de connaitre le La NAT et le port forwarding)

+1
Y'a pas 10000 façons de faire :-)
VX