Communication Orange <=> Vert

[Kts]

Bonjour a tous et a toute,
J'en viens a poster sur ce forum car je n'est pas trouvé de réel réponse a mes questions. Le principal problème étant ma méconnaissance des DMZ et des transmissions de port.

Après avoir consulté le Kit des noobs j'ai pus voir ceci (cité ci-dessous), qui me conforme dans mon idée que tout serveur dans la DMZ peut communiqué avec le réseau Vert si le transfert de port est en adéquation avec les services.

Question : Comment rendre un serveur hébergé derrière IPCOP (web, ftp, etc ...) accessible depuis internet ?

Mots-clefs : transfert de ports, hébergement, serveur web, serveur ftp, no-ip, dyndns

Dans mon cas je voudrais me pencher, dans un premier temps, sur l'ouverture de session avec Active Diretory.
D'avance je m'excuse si j'ai raté un topic traitant de ce sujet.

Voici le réseau:
Toute les adresses ayant un masque de ss réseau en /24.


Rouge:

Ip: Dinamyc


Vert:
Ip: 192.168.1.254

Orange:
Ip: 192.168.2.254


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Schéma:

[Internet]
|
|
|
|
[Modem]
|
|
|
|
[Int Rouge]

## IPCOP ##[Int Vert]--------->Parc info

[Int Orange]
|
|
|
|
[DMZ]
Serveur AD: 192.168.2.10

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Désolé pour ce shéma trés moche!!!

IPcop:
V1.4.20

Addon:
Urlfilter
BOT => Régles: Accepter de Vert ver orange. Accpeter de Orange ver vert.


Voila, j'ai pus voir que AD utilise le port 135 donc j'ai tenté de faire un transfert de port.
*Mon premier problème est le choix du port source.

Comment connaitre le port source pour un certain service?
Le transfert de port est elle la solution pour que la zone verte puisse utilisé tout les services d'une DMZ ( AD, DNS, Serveur impression, Serveur de fichier, etc)

[jdh]

Bon point : ce fil est bien présenté, il y a des infos; continuez !


Il y a néanmoins confusion :
- le terme "transfert de port" s'applique à permettre un flux arrivant de Red d'arriver à un serveur normalement situé en Orange. Cela ne peut pas correspondre à un flux de Green vers Orange
- BOT est L'OUTIL de filtrage (et d'autorisation) des flux entre zones : c'est un must have !

Il y a néanmoins méconnaissance :
- les ports nécessaire à un lien entre un PC windows et un serveur AD sont bien plus nombreux que le simple 135/tcp. (Prendre l'habitude de préciser 135/tcp qui est plus précis). Cf doc Microsoft KB832017 par exemple;
- on ne place généralement jamais un AD en zone DMZ, du fait du nombre de ports nécessaires.
- le port source est généralement inutile : exemple, un flux http désigne un flux dont le port destination est 80/tcp.

Je vous encourage à bien réfléchir à ce qui doit être mis en DMZ.

[Kts]

Merci pour cette premières réponse qui va m'aider a mieux cibler mes recherches!

Après avoir lu quelque article sur les DMZ, est ce que l'affirmation suivante est vrai:

-Une machine doit étre placé dans une DMZ que si elle a besoin d'avoir accés a internet ou quel utilise des services qui utilise internet. Dans le cas contraire on la mettera dans la zone verte.


Ce qui amène donc tout les serveurs de fichier, d'imprimante, AD, a être dans le réseau vert !?


Pour en revenir sur IPCOP:

J'ai 5 Eth dessus:

Eth0 => LAN [VERT]
Eth1 => DMZ [ORANGE]
Eth2 => @ [ROUGE]
Eth3 => LIBRE
Eth4 => LIBRE
Eth5 => LIBRE

1-Comment faire en sorte que L'Eth3 soit configurer de facon a ce que tout ce qui est brancher dessus soit considéré comme dans le réseau vert?

J'attend pas que l'on me mâche le travail, mais je ne sais pas comment nommé ce genre de technique, ou service....

Sinon par défaut BOT bloque tout le trafic:
2-Est ce dangereux d'ouvrir totalement le par feu entre ma DMZ et ma Zone vert?

Je me doute que oui mais je préfère demander ^^.

Dernière question/problème:
3-Quand j'active BOT et que je met une régle qui ouvre totalement le firewall je n'ai pas internet... ?!

Régles: Réseau interface :Any Source:Any || Réseau interface :Any Destiantion:Any

Info: Ipcop arrive a pinger internet.



Le post part un peu en vrille, je m'en excuse!!

[ccnet]

Après avoir lu quelque article sur les DMZ, est ce que l'affirmation suivante est vrai:

-Une machine doit étre placé dans une DMZ que si elle a besoin d'avoir accés a internet ou quel utilise des services qui utilise internet. Dans le cas contraire on la mettra dans la zone verte.

Le premier problème est de raisonner en "terminologie ipcop". On peut le faire bien sûr mais de préférence avec une bonne vision générale de la nature du problème.

L'idée générale est la suivante :
- cloisonner le trafic,
- ne pas autoriser de trafic entrant ou sortant, directement, entre le lan interne et internet,
- ne pas mettre dans la même zone des machines recevant du trafic entrant d'internet et celle en émettant,
- ne pas laisser communiquer entre elles des machines d'une même zone si ce n'est pas indispensable.

L'affirmation sur laquelle vous vous interrogez est exacte mais trop imprécise. On comprend rapidement que l'usage de deux dmz devient vite nécessaire si l'on a, par exemple un serveur de mail, ou un serveur Web. Idéalement tous les serveurs de l'entreprise devraient être dans une zone spécifique. Le danger vient aussi de l'intérieur du réseau pour 50%.

Pour en revenir à AD, il pose de nombreux problème de sécurité. D'abord le grand nombre de ports à ouvrir et les nombreux services nécessaires. Une machine faisant partie de votre AD en DMZ (surtout externe) est un danger public. Si la machine est compromise, même partiellement, il y a de grandes chances que la base SAM soit récupérée. Tous les comptes vont alors pouvoir être attaqués hors ligne pour en extraire les mots de passe. Par construction la couverture de plusieurs zones de sécurité différentes par le même AD est un facteur de risque fort.

2-Est ce dangereux d'ouvrir totalement le par feu entre ma DMZ et ma Zone vert?

Théoriquement il devrait ne pas y avoir de trafic Dmz -> Lan Vert, mais uniquement dans l'autre sens.