 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : utilité d'un DMZ face au NAT? | |
| chiendepoche | ne pas oublier que sur les petits routeur perso c pas vraiment une DMZ hein .... c sur le meme switch !!!
|
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| chiendepoche | ne pas oublier que sur les petits routeur perso c pas vraiment une DMZ hein .... c sur le meme switch !!!
|
| rules_77 |
|
| Requin | Pour compléter ce que dit Guru, ce produit est assez intéressant :
http://www.arkoon.net/FR/firewall.php Non seulement il agit comme un firewall classique, mais aussi vérifie la validité de bon nombre de requêtes au niveau applicatif. |
| rules_77 |
|
| Guru | Prennons l'exemple du serveur http, si tu mets un serveur http dans ta dmz (qu'il soit "natté" ou non) celui ci reçoit toutes les requêtes provenant d'internet et notamment les requêtes potentiellement dangeureuses, par exemple volontairement mal formatées (attaque type contre IIS). L'utilisation d'un relai, dans ce cas un reverse proxy, permet de réduire ce risque. En effet le reverse proxy recevra toutes les requêtes (valides ou non) et pourra appliquer des règles de filtrages évoluées directement dépendantes de l'architecture de ton application web. Il pourra par exemple rejetter toute requête ne correspondant pas à une url explicitement autorisée et valide pour ton serveur web. Ainsi le serveur http sera configuré pour n'accepter que les requêtes provenant du reverse proxy et ne recevra donc que des requêtes valides. |
| rules_77 |
|
| rules_77 |
|
| Guru | Krapaud a raison de souligner que DMZ et NAT ne sont pas des notions de même nature. De plus en terme de sécurité il vaudrait mieux ne pas avoir le serveur dans la DMZ mais plutôt des relais qui soient en mesure de ne transmettre aux serveurs que des requêtes valides. |
| vrobaina |
|
| Krapaud | il y a un truc que je ne comprends pas c'est comment on peut mettre en parallèle NAT et DMZ, ça n'a stictement rien à voir, c'est comme comparer un VLAN et un partage de connexion!!! |
| Requin | La DMZ est une interface séparée sur le routeur... tu as en principe LAN, WAN & DMZ (tu peux avoir des routeurs avec bien plus d'interfaces).
Placer un serveur en DMZ te permet de définir des règles de passage d'une zone à l'autre. Par exemple la machine de ton serveur Web n'a probablement pas le droit de faire une connexion "NetBIOS over IP" sur les machines de ton réseau local... si tu place ton serveur sur le LAN et en supposant que ton serveur Web tombe il pourrait le faire, si il est en DMZ et que tu as interdit l'initiation de connnexions depuis la DMZ vers le LAN (ce qui est souvent le cas) il ne pourra pas. La DMZ sert à mettre des serveurs devant être accessibles publiquement et depuis le LAN... c'est juste une méthode plus souple de gérer sa sécurité. Après certaisn fabriquant trichent sur le terme (D-Link de mémoire) et proposent sous l'appellation DMZ qqch qui n'a rien à voir.. |
| rules_77 |
|
| wonee | DMZ c bien mais fo être capable de logs tt avec ...donc coupler un softs de logs et d'alertes.
La NAT c plus simple |
| rules_77 | je crois que l'on s'eloigne du sujet!
je ne demandais pas qu'est-ce qui est mieux entre kro et linux mais plutot ce que les professionnels utilisent entre une DMZ et le NAT! suivant la configuration que j'ai cité... mon serveur est sous 2000pro... mais ya de forte chance que je passe d'ici peu sous une distrib linux... histoire de se faire la main.. |
| wonee | pas de garantie et assurance sur le dev. Et des technoligie qui pourrait être très vite obsolête le jour où on aurait demandé des mises à jour sur les codes sources. |
| wonee | Ben j'ai passé 1 ans à faire un cahier des charges sur un Intranet extranet pour une gestion client. Il y a que des boites de dev sur Kro qui ont été capable de reprendre tout les critères. D eplus les boites qui dev sur Linux (c pas une généralité aussi) sont souvent de 15 personnes ce qui veut dire que ds 5 ans on c pas trop ce qu'elle deviennent.... |
| rules_77 |
|
| rules_77 | j'oubliais de dire que je suis pas parano mais que la sécurité m'interesse.. donc je suis pret à faire des tests.. je suis bientot en vacances.. :) |
| wonee |
|
| rules_77 |
|
| rules_77 |
|
| wonee |
|
| Alana | Je pense qu'il faut que t'arrete la parano :)
Un firewall pour un particulier c'est déjà tres bien. Apres le reste, c'est pas au niveau réseau que ca se passe... Tu peux bien avoir 50 firewall, si ton serveur http c'est IIS bein... tu vois quoi :D |
| rules_77 | je possede chez moi un routeur/firewall de type smoothwall express sur une petite becane ( p200).
sur un autre pc, j'ai installé un serveur web, pop, smtp.. j'ai donc natté les ports en question pour que mon serveur puisse communiquer et recevoir des données depuis le net... je me pose maintenant les questions: mon firewall "protège" l'ensemble de mon reseau ainsi que mon serveur.. sauf les ports 25,110 et 80.. 1/ vaut-il mieux donc que je mette mon serveur dans une DMZ mais en installant un firewall logiciel dessus ( çà devient quand meme lourd)? 2/ ou bien que je laisse ma configuration initial? 3/ si je me pose cette question c'est juste pour savoir ce qui serais le plus propre à faire? 4/ le nat est-il une solution de facilité qui peut jouer des tours ( au niveau de la protection)? 5/ la DMZ va-t-elle apporter un lot de souplesse ou bien me rendre fou pour ce qui sera de la protection de ladite machine? je sais, c'est pas trop clair mais c'est pour savoir quelles positions vous adoptez.. et pourquoi? |
