2 votes

Hexdoll avatar

Meilleure pratique pour partager ou autoriser l'accès à trac et svn pour la sécurité des internautes ?

Demandé el 28 de Janvier, 2010
Quand la question a-t-elle été
746 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Quelle est la meilleure pratique pour partager ou permettre à des utilisateurs d'Internet qui ne sont pas liés à l'entreprise d'avoir accès à trac et svn ?

Doit-il être sur une DMZ, doit-il être interne avec une forme de connexion SSH ou en utilisant un https ?

Si vous deviez le faire et être paranoïaque en matière de sécurité, quelle devrait être la liste des meilleures pratiques en supposant un pare-feu de base sur le WAN, le serveur devrait-il être sur son propre pied sur le réseau comme une zone de périmètre (loin des utilisateurs internes aussi, avec un double pare-feu).

Merci d'avance.

Demandé el 28 de Janvier, 2010 par Hexdoll

Réponses

Trop de publicités?

2voto

pQd avatar
pQd Points 29251

En supposant que vous êtes paranoïaque en effet [ aka overkill scenario ] :

  1. placez un reverse proxy [par exemple en utilisant apache2] dans un sous-réseau protégé par un pare-feu, rendez-le accessible uniquement via https, uniquement à partir d'une sélection d'adresses IP d'utilisateurs externes qui doivent y accéder [ cela vous protège contre les attaques aveugles sur les vulnérabilités possibles dans apache / svn / trac ]. ne faites suivre que les requêtes vers des urls valides [ par exemple /svn et /trac ] vers le serveur réel situé dans un sous-réseau séparé. assurez-vous que ce proxy ne peut atteindre que votre serveur réel, uniquement sur le port 80/tcp. rien d'autre.
  2. mettez votre serveur svn / trac actuel dans un sous-réseau séparé, avec un accès contrôlé : autorisez les connexions http entrantes depuis l'intérieur de votre entreprise et depuis le proxy. interdisez les connexions sortantes.

si la limitation de l'accès au numéro 1 pour lister explicitement les plages d'adresses IP n'est pas une option, envisagez une forme de gatekeeper - encore une fois - pour éviter les attaques aveugles.

au niveau de la procuration - envisagez de l'utiliser :

  • modsécurité pour éviter par exemple les attaques par injection sql/xss sur trac,
  • fail2ban pour rendre les attaques par dictionnaire sur le mécanisme d'authentification de svn / trac un peu plus difficiles.
Répondu el 28 de Janvier, 2010 par pQd (29251 Points )

0voto

rytis avatar
rytis Points 2274

Cela dépend de votre budget.

Essayez de mettre en place un pare-feu n'autorisant que l'accès https et avec un ssl bidirectionnel du côté d'Apache.

Répondu el 28 de Janvier, 2010 par rytis (2274 Points )

0voto

mreggen avatar
mreggen Points 2940

Si je le faisais, je mettrais trac sur une boîte à l'extérieur du pare-feu principal de l'entreprise, mais je mettrais des règles de pare-feu dessus pour bloquer l'accès à tout sauf ssh (pour moi) et http (pour tous les autres).

Une autre option pourrait être de vous demander : devrions-nous héberger ce site tout court ? Est-ce que cela fonctionnerait mieux sur sourceforge ou savannah.{non}gnu.org ou github ?

Répondu el 28 de Janvier, 2010 par mreggen (2940 Points )

0voto

silk avatar
silk Points 898

Un serveur standard avec accès https uniquement est une solution assez sûre avec un nombre limité de ports ouverts, etc.

La configuration paranoïaque pourrait être VPN (par exemple openvpn ) pour les utilisateurs extérieurs à l'entreprise. Trac et svn ne seraient accessibles que depuis votre réseau privé et depuis le VPN. L'accès des utilisateurs au VPN serait sécurisé par des certificats émis par vous. Et bien sûr, aucun autre serveur ou réseau interne ne sera accessible depuis le VPN.

Cette solution n'est bien sûr possible que si l'ensemble des personnes extérieures à l'entreprise est assez stable et pas trop important. Si le nombre d'utilisateurs et de personnes spécifiques change, alors la première solution avec un accès https et un pare-feu bien configuré est la seule solution (et elle est utilisée par de nombreuses personnes et entreprises).

Répondu el 28 de Janvier, 2010 par silk (898 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X