1 votes

breversa avatar

Est-ce une bonne idée de permettre uniquement les connexions à être établies dans la direction LAN->DMZ ?

Demandé el 22 de Février, 2014
Quand la question a-t-elle été
446 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis en train de mettre en place la configuration habituelle, avec une DMZ contenant des serveurs accessibles depuis Internet, et un LAN qui devrait être aussi sécurisé que possible.

Je jouis également d'une totale liberté en ce qui concerne l'architecture. Étant donné que je veux rendre mon espace LAN aussi sécurisé que possible, je me suis dit "Quoi de mieux que de ne pas pouvoir accéder au LAN depuis la DMZ". Pour ce faire, je configurerais le pare-feu pour bloquer toute connexion entrante dans la direction DMZ->LAN.

Bien sûr, j'ai encore besoin que mes applications frontales dans la DMZ puissent contacter les serveurs LAN de confiance. Pour rendre cela possible, j'ai pensé n'autoriser que les connexions à être établies dans la direction LAN->DMZ.

Cela signifie qu'à l'inverse de la situation habituelle, ce sont mes services LAN de confiance qui se connecteraient aux serveurs frontaux non sécurisés de la DMZ. Une fois que la connexion TCP est établie, toutes les demandes et réponses entre les deux points finaux seraient multiplexées sur cette connexion.

Est-ce une bonne idée en termes de sécurité? Y a-t-il autre chose que je pourrais faire pour rendre mes serveurs LAN encore plus difficile à atteindre? Avez-vous déjà entendu parler de quelqu'un sécurisant leur LAN de cette manière? Y a-t-il quelque chose qui m'échappe qui rendrait cette idée stupide?

Demandé el 22 de Février, 2014 par breversa

Réponses

Trop de publicités?

4voto

humanzz avatar
humanzz Points 307

Comme pour toutes les questions liées à la sécurité, la réponse est "cela dépend". Cela dépend du type d'entreprise que vous êtes, du type de services que vous exécutez, de la manière dont vos services Internet sont sécurisés, des données dont vous avez la garde, des législations auxquelles vous devez vous conformer, etc., etc.

Réponse courte - minimisez la "surface d'attaque" en limitant les adresses/ports entre votre DMZ et votre réseau de confiance. Si possible, déployez des technologies utilisant un arrangement de type reverse-proxy, de sorte que la conversation entre DMZ->Trust ne soit pas possible. Bien sûr, cela ne sera pas toujours possible. Envisagez d'avoir une zone intermédiaire pare-feu contenant des bases de données "Internet seulement". Enfin, assurez-vous également de limiter les ports/adresses de Trust->DMZ. De nombreux logiciels malveillants utilisent des connexions de type reverse-proxy (mais dans l'autre sens), c'est-à-dire qu'ils dépendent d'une connexion entrante pour s'introduire dans le réseau source.

Le problème avec ce genre de question, c'est que vous obtiendrez des réponses différentes de presque tout le monde, et c'est à vous de choisir ce qui vous convient le mieux. Une sécurité supplémentaire rend inévitablement les opérations quotidiennes plus compliquées, et les configurations de sécurité trop compliquées tombent souvent en panne à cause d'erreurs de configuration, laissant des failles qui passent inaperçues.

La sécurité repose sur des couches de défense, et aucune solution, peu importe ce que les gens vous disent, n'est sécurisée à 100%. Quoi que vous décidiez de faire, envisagez de le faire tester avant sa mise en service, et assurez-vous de maintenir à jour les services DMZ. Enfin, examinez votre configuration au moins une fois par an.

Répondu el 22 de Février, 2014 par humanzz (307 Points )

1voto

Rob Moir avatar
Rob Moir Points 31534

D'accord, minimiser les connexions entre la DMZ et le LAN est une bonne règle générale, même si je ne deviendrais pas esclave de cette idée (si vous avez des serveurs de messagerie sur site, votre service de messagerie sera intéressant à dire le moins si vous les forcez à respecter votre idée).

De plus, ne pensez pas que c'est une défense contre le piratage magique. Si quelqu'un compromet un serveur dans la DMZ, il y a encore une possibilité pour cette personne de pénétrer votre réseau en fonction de la configuration des serveurs dans la DMZ (par exemple, avoir des connexions ouvertes du côté LAN entre une base de données SQL du côté LAN et un serveur web du côté DMZ ne vous aidera pas beaucoup si le serveur web a été compromis et que les informations d'identification pour accéder au serveur SQL sont stockées sur le serveur DMZ).

De plus, si les informations que vous utilisez/stockez sont précieuses en elles-mêmes et qu'elles peuvent encore être volées par quelqu'un qui a compromis le serveur dans la DMZ, alors ce que vous proposez ne servira pas à grand chose.

Répondu el 22 de Février, 2014 par Rob Moir (31534 Points )

0voto

Amit avatar
Amit Points 441

Eh bien, vous avez déjà presque énuméré l'un des problèmes avec cette configuration, c'est TCP seulement. Non seulement cela, mais une session peut être contrefaite relativement facilement depuis l'intérieur de la DMZ. La solution idéale à mes yeux semble être de traiter le LAN de confiance exactement comme un utilisateur régulier, les envoyer hors de votre réseau et les ramener.

Répondu el 22 de Février, 2014 par Amit (441 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X