Architecture LAN - DMZ pour déploiement d'un proxy

[mazzz86]

Bonjour,

Je travaille dans une entreprise disposant de plusieurs sites en France. Je suis sur le site principal qui reçoit énormément de connexions des autres sites à partir d'une liaison WAN, que j'appellerai A.

Nous avons également une autre ligne (que j'appellerai B) que nous utilisons pour soulager la ligne A et pour l'accès depuis l'extérieur à notre DMZ qui comprend un serveur EDI et un serveur FTP.

On m'a demandé de rediriger tout le trafic internet du site principal qui passe actuellement sur le ligne A, vers la ligne B en utilisant un proxy avec authentification Active Directory.

Mon serveur Squid est actuellement dans la zone LAN. Cela permet une authentification plus sécurisée vers notre controleur de domaine. Les demandes d'accès à internet sont nattées sur le firewall qui sécurise la ligne B. Le DNS du serveur Squid est celui de notre domaine

J'ai déployé cette infrastructure, cependant quelques interrogations restent :

- Je trouve que l'accès internet est particulièrement lent, notamment l'appel à la page. Une fois celle-ci chargée, la vitesse redevient normale. Est-ce un problème de DNS ? Ne serait-il pas préférable de donner à squid le DNS du FAI de la ligne B ? Cela impliquerai l'ouverture du port 53 sur le firewall. Cela impliquerai aussi de revoir tous les fichiers de conf et de remplacer les noms de machine par leur adresse Ip car le DNS du FAI ne connait pas les machines du domaine.

- Est-ce une bonne idée d'avoir mis le proxy dans le LAN et non dans la DMZ ? J'ai eu peur de la mettre dans la DMZ à cause de l'authentification AD.

Dites moi SVP ce que vous pensez de cette architecture, qu'auriez-vous fait à ma place ?

Merci.

[jdh]

Bonjour.

(Voilà une situation décrite avec des éléments intéressants : Nicolas Boileau "ce qui se conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément")

WAN Ligne A - Ligne B :

Que le proxy dispose d'un accès Internet ne passant pas par la même ligne que l'accès aux sites distants, réduit la charge sur cette ligne. C'est clair.

pc/site <-> Wan A <-> site central - Proxy <-> Wan A <-> Internet <-> Wan A <-> Proxy <-> Wan A <-> pc/site

charge plus le Wan A que

pc/site <-> Wan A <-> site central - Proxy <-> Ligne B <-> Internet <-> Ligne B <-> Proxy <-> Wan A <-> pc/site


DNS :

Il est logique de relier le proxy au DNS interne car la résolution de l'ip qui passe au travers du proxy (ne serait ce que pour remplir correctement les logs).

Néanmoins, le DNS interne a aussi besoin de "forwarders" pour résoudre les noms non internes. J'ai observé que le DNS de windows est quelque fois lent sur le sujet.

Au niveau du proxy (sous Linux), il est possible de tester la résolution dns au moyen de "host" (bind9-host) ou "dig". Faudrait-il disposer localement d'un bind qui soit DNS slave du domaine interne et résout le reste via la Ligne B ? C'est possible et ce ne doit pas être trop compliqué à réaliser ...


Concernant le positionnement du Proxy, effectivement il est normal de positionner en DMZ mais l'authentification étant lié à Windows, il n'est pas forcément simple de définir les règles utiles au niveau du firewall.
Je préconiserai quand même un script iptables simple au niveau du proxy et passage régulier d'un test anti-rootkit (rkhunter ?).



Dans mon cas, pour une société avec 2 sites (principaux), j'ai opté pour la duplication des proxy avec pour chacun sa propre ligne ADSL : plus de trafic http externe sur le VPN inter-sites !

[mazzz86]

Salut jdh et merci pour ta réponse.

Cependant j'ai du mal m'exprimer dans mon premier post, au moins au niveau du schéma de fonctionnement.
En fait je veux rediriger le trafic internet uniquement pour les ordinateurs du site principal (au moins pour le moment)

Trafic internet :
PC/Site principal <-> Proxy squid <-> Ligne B <-> Internet
PC/Site distant <-> Wan A <-> Proxy FAI WAN A <-> Internet

Le trafic internet est redirigé sur le proxy squid uniquement pour le site principal.

En ce qui concerne les logs du proxy, cela ne me pose pas de problème. Je les exploite à partir du nom de l'utilisateur grâce à l'authentification et on avec l'adresse de la machine.

Pour le DNS :
En effet c'est du Windows. Mon proxy attaque le DNS interne qui a comme forwarder le DNS du FAI. Et en effet, c'est LENT...
Peut-être que je devrais directement attaquer le DNS du FAI à partir du proxy en interne en utilisant la ligne B ? quid de la sécurité ?

Cela m'embête vraiment de positionner le proxy dans la DMZ ? Qu'y-a-t'il à y gagner ?

Encore merci

[hacksi]

Quels sont les problèmes et les avantages de mettre le proxy dans le LAN au lieu de la DMZ (Par exemple par rapport à l'utilisation d'Active Directory, le reverse proxy, contraintes de sécurité, etc.) ?

[jdh]

La logique d'une DMZ est :
1- réunir toutes les machines se connectant à Internet ou devant être accédé depuis Internet,
2- le LAN n'a pas accès à Internet en direct sauf accès via une machine en DMZ.

Par exemple, on placera en DMZ
- un proxy,
- un relais mail,
- un serveur web ou ftp d'accès public, ...

Donc, si on dispose d'une DMZ, on évitera de placer un proxy dans le LAN.

Bien évidemment, si le proxy utilise une authentification de type ActiveDir, il faudra s'assurer que le proxy dispose bien des règles lui permettant d'accéder au serveur de domaine Windows. (Ce qui est assez contraignant, il faut bien le dire ...)

[hacksi]

Mais lorsqu'on est obligé de placer le proxy en dehors de la DMZ, donc dans le LAN, quelles peuvent être les répercussions en terme de fonctionnalités ou de sécurité ?

[jdh]

J'ai écrit la logique c'est à dire ce qui est souhaitable, ce qui est sûr.

Maintenant, chacun fait ce qu'il lui plait !

Il est clair que la sécurité induite par ce qui est souhaitable est meilleure.
On peut limiter l'insécurité en réalisant un proxy "propre" c'est à dire une machine saine, bien définie, limitée aux fonctions prévues, à jour des update du système, à jour d'antivirus, qui produit des logs surveillés régulièrement, ...

Si j'avais à créer un proxy, je partirais d'un Debian minimal (cd netinst), puis mis à jour, puis avec les paquets utiles (et uniquement ceux utiles), puis un paquet firewall type Shorewall avec une config limitant les ports d'accès à ce serveur (entrants et sortants). Mais je le placerais aussi en DMZ !

[ccnet]

Mais lorsqu'on est obligé de placer le proxy en dehors de la DMZ, donc dans le LAN, quelles peuvent être les répercussions en terme de fonctionnalités ou de sécurité ?

Sécurité : sur le principe cela signifie qu'au moins une machine, le proxy, situé dans le lan peut sortir vers internet directement. Ce qui est contraire à un strict cloisonnement des trafics entrants et sortants. L'isolation des machines du lan s'en trouve potentiellement diminuée.

[Franck78]

Puisque le sujet revient à la mode, remontons celui-ci....

Position du proxy: sur un FW, sur le LAN, en DMZ ?

Les trois mon colonnel!
rapidement le cas 1 (sur FW) pour la maison, les minis structure.

Ensuite, ccnet indique qu'il est 'mauvais' de laisser une machine du LAN (le proxy) atteindre le WAN directement.
Donc placer le proxy en DMZ est 'meilleur'

Mais pour ça il faut percer un gros trou pour laisser entre LAN et DMZ pour utiliser le proxy....

Donc, si l'on est pas à une machine près, la solution pourrait être DEUX proxys, un sur le(chaque) LAN pour les clients locaux, l'autre en DMZ. Et bien sur les règles associées pour limiter ce qui est limitable.

En plus on peut partager la tâche, pour l'un le cache fichier, pour l'autre authentif, filtrage d'url etc etc...

C'est ce qu'on fait plus ou moins naturellement avec le SMTP, un exchange/zimbra/OX ET un qmail/postfix