Debian 2 interfaces

[Yoda]

Bonjour,

sur une distrib debian Etch, placé en Dmz derrière ipcop, j'ai 2 interfaces une patte est en dmz , l'autre dans un vlan utilisateur.

quelle sécurité appliquée afin qu'un pirate ne puisse pas avoir accès au vlan utilisateur en cas d'intrusion sur le serveur (debian Etch) ?

je crois que iptable est ma solution...

merci de vos réponse.

[HaM]

Salut,

Si un pirate prend la main sur ton serveur, iptables ne servira à rien si ce n'est le ralentir 2min le temps qu'il s'en rend compte, puis il supprimera les règles ...

[ccnet]

Voici ce que je comprend de votre question :
Le serveur Debian possède 2 connexions une dans la dmz, l'autre sur le lan. Si c'est bien cela je suis certain que le début de votre solution, c'est une architecture correcte. Iptables ou autre ne change rien à l'affaire.
En quoi consiste une architecture correcte ?
1. Ne pas créer de court-circuit du firewall, ce qui est actuellement le cas.
2. Faire transiter tous les flux par le firewall.
3. Autoriser ou interdire tous les flux, entrant, sortant ou allant d'une zone à l'autre. songez qu'ipcop, en configuration de base, autorise tout le trafic sortant du lan vers internet. Ce n'est pas souhaitable.

Avec une seule dmz je pars du principe que toute machine devant recevoir des connexions venant de l'extérieur (c a d répondre positivement à un Syn initial) doit être en dmz.
Toute machine située dans le lan ne doit pas recevoir de connexions entrantes venant d'internet.
Et en principe il ne devrait pas y avoir de sortie directe du lan vers internet.

Exemple type : passerelle smtp dans la dmz. La passerelle transmet au serveur de mail qui est dans le lan, ou mieux dans une autre dmz. On distinguera alors une dmz externe et une dmz interne. Je ne pense pas que vos besoins soient à ce niveau là.

Ensuite il y a des questions sur la mise en oeuvre du vlan qui dépendent entre autre du switch utilisé. Dans tous les cas vous n'utiliserez pas le vlan natif (vlan 1) pour connecter les utilisateurs, vous désactiverez le spanning tree si vous n'en avez pas l'usage et vous n'utiliserez pas du protocole de trunking dynamique (ex DTP chez Cisco).

[Yoda]

c'est un serveur web qui est en Dmz et je souhaite via la 2eme patte autoriser l'accès depuis le lan vers certaines données présentent sur le server web.

je veux simplement minimiser le risque "d'intrusion" vers mon lan depuis le server web (en cas de piratage"

c'est tout.

[ccnet]

C'est bien ce que j'ai compris. Faites le donc via ipcop (green vers orange) ce sera propre et sûr. Avec votre solution vous maximisez le risque (je ne sais même pas si on peut parler de risque, il s'agit plutôt d'une certitude) d'intrusion vers votre lan. Dans la solution conforme aux bonnes pratiques, sil votre serveur web est compromis, il faut encore forcer ipcop pour parvenir au lan. Dans votre solution l'attaquant est sur le lan.

[Yoda]

sauf que mon lan n'est pas derrière l'ipcop.

merci pour les réponses.

[ccnet]

Il aurait fallu commencer par donner toutes les informations. Celle ci est évidement indispensable. Il ne reste plus qu'à décrire votre architecture complètement pour pouvoir donner une réponse.

[Yoda]

mea culpa.

le server web est derriere un ipcop.

le lan qui doit avoir accès à certaines des resources du server web est derrère un autre lan. voila pourquoi je souhaite placer une patte avec un min de secu dans le 2eme lan

a+

[ccnet]

il y a un routeur entre les deux lans ? sinon quoi ?

[jdh]

Ce fil est la suite d'un autre fil ...

Quelques éléments :

- une DMZ est faire pour contenir des serveurs pouvant être accédés depuis Internet et ayant accès à Internet (ce sont 2 choses différentes).
- un réseau local ne doit/devrait pas avoir accès DIRECTEMENT à Internet : utilisation de proxies=machines en DMZ.
- il ne faut pas créer de "court-circuit" entre les différentes zones.

Ce dernier point est toujours mal compris !

Si on a un firewall, c'est à lui d'être le point unique de passage entre zones.
Pourquoi créer 2 circuits pour les échanges entre zones ?
Si on n'est pas capable de créer la règle de transfert d'une machine à l'autre au niveau du firewall, comment une des machines liées saurait apporter cette sécurité ?

Je le dis tout net : créer un accès direct vers le lan à partir d'une machine de la DMZ, c'est mettre par terre la sécurité du firewall.

Peut-on imaginer que, juste à côté d'une porte blindée, il y ait une porte de jardin juste à pousser pour rentrer ?


Non, je pense qu'il faut décrire les flux entre une machine et l'autre, puis écrire la règle dans le firewall.

Tout essai de faire autrement est moins sécure que ce réglage firewall ...

[Yoda]

ok j'ai compris l'histoire du cours circuit.

mais je ne vois pas comment faire... j'ai 2 firewall sur 2 ip publiques différentes.

sur la premiere ip j'ai un Juniper avec le lan, les serveur etc... (LAN 1)

sur la deuxieme, le site web, sur lequel des informations sont saisies par des visiteurs. les gens du LAN 1 doivent avoir accès a certaines de ces informations...

A part en mettant une patte en Dmz et une patte sur le lan, je ne vois pas comment obtenir cet accès...

est ce que la solution ne searit-elle pas de mettre un ipcop suplementaire entre la deuxieme patte du server web et le LAN 1.

mon idée a plus long terme est de copier les données du server web vers un autre serveur (intranet) comment je dois faire là !

j'ai bien une idée:

je prend une patte de mon Juniper je crée une dmz avec un switch sur 1 port du switch je plugge mon server web sur une autre mon futur intranet.

de cette manière, je pourrais faire mes transferts de données entre mes 2 servers, et le lan y aura accès de façon sécurisé.

par contre ca va faire pas mal de règles de filtrage sur les 2 firewall non ?

[ccnet]

Vraiment difficile d'obtenir les informations pour vous proposer des solutions ...
Ce que je comprend :
ip publique 1 <----> Juniper <----->lan1
et
ip publique 2 <---->(red) ipcop (orange)<----->dmz <----> (serveur web Debian)
ipcop a une interface green non utilisée.

Ce que vous voulez : accéder depuis lan 1 au serveur web dans dmz.
Est ce bien les données du problème ?
Une possibilité, il manque des informations pour la valider. Connecter la pate green d'ipcop sur le lan utilisateur. Ajouter une route sur Juniper (coté lan) pour atteindre le serveur Debian derrière ipcop.

Maintenant les questions : combien d'interfaces disponibles sur Juniper ? Dmz sur Juniper ? Multiwan sur Juniper ?

A propos de la solution.
Elle est "moins pire" que celle envisagée initialement parce qu'il y toujours un firewall entre une machine en dmz et le lan. Il n'en reste pas moins que cette solution n'est pas satisfaisante à mon avis. Deux points d'entrée, 2 firewall différents, une administration éclatée. Difficile de mettre en place une politique de sécurité avec cohérence et fiabilité. Fort risque d'erreur humaine, mauvaise visibilité, analyse des situations potentiellement délicate.

Tout cela parce qu'il y a à l'origine une mauvaise compréhension des questions de sécurité, en particulier en terme d'architecture. On y revient.

La solution rationnelle c'est un firewall qui gère le multiwan (si l'on ne veut pas toucher aux deux ip disjointes manifestement). Une ou deux dmz selon besoin, et un lan. Au milieu un seul et unique firewall qui centralise et gère tous les flux. A mon sens c'est ers cela que vous devez aller, vous ferez face dans e futur aux nouveaux besoins. Aujourd'hui ce sera des contorsions dès que le réseau évoluera un peu.

[Yoda]

c'est exactement ce que je veux faire.

j'ai 8 interfaces sur le Juniper il m'en reste 4 libres

Une possibilité, il manque des informations pour la valider. Connecter la pate green d'ipcop sur le lan utilisateur. Ajouter une route sur Juniper (coté lan) pour atteindre le serveur Debian derrière ipcop.

cette solution me parait simple et réalisable.

merci de vos conseils.

je me penche dessus lundi.

[ccnet]

Si vous pouvez gérer en multiwan, pas besoin de mettre un ipcop. Tout dans Juniper.