Question sur DMZ , serveur web et serveur BD - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 20-06-2007 à 10:39:18
Hello,
defjay a écrit : |
Je pense qu'il ne faut pas prendre les indication au pied de la lettre. Si tu le fait, ton réseau ne peut pas accedé à internet et ton serveur apache ne peut pas accéder au sgbd.
Il y a forcement des échanges entre la DMZ et le réseau internet mais ils ne sont autorisés hautement sécurisés. Seules certaines machines sont autorisés à accéder au réseau interne.
Par exemple tes serveurs Web en DMZ sont autorisés acceder au serveur SGBD situé sur le LAN interne et seulement au serveur SGBD !
Pour sécurité les acces web du réseau interne tu installes un relais obligatoire. Toutes les trames transites par ce relais et lui seul est autorisé à accéder au lan interne. Tu peux aussi forcer tout le traffic par le relais obligatoire (y compris les accès SGBD des serveur web) dans ce cas attention car la chute de ton RO entraine l'arret des serveur WEB !
Au niveau de ton firewall tu filtres et n'autorise ques les quelques adresses IP de ta DMZ qui sont autorisées. Aucune adresse externe n'est autorisé à accedé au LAN interne.
Il fortement conseillé de mettre en place un IDS (SNORT) sur ces machines et de les surveiller serieusement car si une intrusion survient il est plus que probable que ce soit d'une de ces machines.
Voilou
A+
Marsh Posté le 20-06-2007 à 10:51:04
Ok merci, dans ce cas la :
Est-vraiment conseillé de mettre les serveur de BD autre part que dans la DMZ ?
Ou est-ce suffisant du fait qu'il y a le Firewall en amont ?
Merci
Marsh Posté le 20-06-2007 à 11:11:03
Hello,
Oui c'est impératif pour la sécurité des données. Pas de serveur SGBD en DMZ. Si ton serveur SGBD etait compromis, tes données seraient disponible au hacker et eventuellement detruite par ce dernier.
Le firewall amont est là pour abaisser les risques d'intrusion mais le réseau n'est réputé sûr qu'après le firewall aval. Donc il ne doit y avoir dans la DMZ aucun serveur qui ne soit directement lié aux services proposés à l'exterieur, c'est a dire Web, SMTP, FTP etc.
A+
Marsh Posté le 20-06-2007 à 11:57:04
Oui, oui bien sur mais ce sont des BD client, vu que c'est une prestation d'hébergement que je fait.
Concernant le BD interne (compta....) elle est sur le réseau local.
Dans ce cas, est-ce-utile de mettre les BD client qui sont donc de l'hébergement web classique (Apache + Mysql ) sur le réseau interne ?
Merci d'avance
Marsh Posté le 20-06-2007 à 15:41:09
Hello,
Oui oui sur le LAN interne le SGBD client.
Met ca sur un sous-réseau particulier si tu préferes.
Ca ne va pas te compliquer la vie tand que ca. Par contre ton client qui voit ses données partir en fumée ou à la concurence SI (=il va te compliquer la vie).
A+
Marsh Posté le 19-06-2007 à 17:27:04
Ayant trouvé ce schéma pour simplifier la DMZ.
Commentcamarche défini ces règles :
La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante :
* Traffic du réseau externe vers la DMZ autorisé ;
* Traffic du réseau externe vers le réseau interne interdit ;
* Traffic du réseau interne vers la DMZ autorisé ;
* Traffic du réseau interne vers le réseau externe autorisé ;
* Traffic de la DMZ vers le réseau interne interdit ;
* Traffic de la DMZ vers le réseau externe refusé.
Si je met, par exemple, les serveur Apache dans la DMZ et les serveur de BD Mysql sur le reseau interne
et vu qu'il y a ça de noté :
* Traffic de la DMZ vers le réseau interne interdit ;
Comment le serveur apache va interroger la BD Mysql ??? ou à default quelle architecture sécurisé / bon cout pour permettre de séparer tout ça.
J'ai un routeur et un firewall Cisco et une dizaines de serveurs web à héberger. Pour l'instant tout est dans une même DMZ.
Merci pour vos conseil
Message édité par defjay le 19-06-2007 à 17:27:46