Virtualisation : interrogations

Tu ne réunis en rien DMZ et LAN, c'est cela que tu as du mal à comprendre.

cela n'a rien à voir du tout :
 
 Blue Pill s'appuie sur les couches de virtualisation de l'OS (tq sous Vista 64bits) et des processeur (AMD entre autre) et non pas d'un système hote :
 
http://www.clubic.com/forum/virtua [...] 65771.html
 
ou bien  
 
http://www.vmware.com/community/me [...] eID=441922
 
 
=> c'est la machine virtuelle qui a été infectée et dans laquelle une pseudo vm créé par Blue pill a été générée.

pas du tout, lorsque tu virtualises des applications nécessitant de la haute disponibilité, tu installes un ESX serveur sur une "ferme" de serveurs. Ainsi en cas de failover d'un serveur physique, tu n'as aucun problème. Tu peux meme te permettre d'upgrader tes serveurs (ram, proco, voir changer de serveur) sans jamais à avoir à arreter tes applications.

:lol:

ssii, vou aurez traduit de vous mêmes !!

Je rajouterais aussi que le jour ou la machine maître tombe en panne/en maintenant, tu perd la totalité.
 
dans ma boite, le site WEB, c est du 24/24 7/7 365/365
pour faire ca, on a 2 serveurs avec le service WWW qui utilisent 2 serveurs de fichiers et les fichier sont eux meme en 2 SAN.
évidement toutes les connexions sont doublé/croisé, tout ca est repartis entre deux sites espaccé de 50km
 
on a les moyen ou on les a pas.   :whistle:  
 
 
d ailleur, on a fait une simulation il y a 2 semaines : on a eteind le disjoncteur d un des deux sites ... 0 probleme

+1 ça me semble risquer sur tu pars sur du vmware gsx, mais sur du ESX tu limites les risques ...

MAis bon comme le dit z_cool, vu le prix d'un serveur, et vu le risque de perte pour l'entreprise, le plus imple est peut être 2 mettre 2 serveurs, un dans ta dmz et un dans ton lan. (oui je sais, sur ce coup là j'ai fait le suisse,mais la neutralité à du bon quand les 2 idées ce defendent)

Sinon la solution du vlan est pas mal aussi, mais ça ce calcul. si tu as besoin de rachater un/des switchs niveau 3, plus de faire intervenire une scsi pour te paramétrer tout ça, ca te couteras quasiment plus cher que d'acheter un serveur

Dans le cas d'une version VMWare ESX, la machine "maitre", tu ne la vois qu' à travers l'interface réseau d'administration (que bien evidement tu connectes à ton lan et non pas à ta DMZ).  Et à ma connaissance il n'y a pas encore eu d' "Exploit" sur les parties Hotes d'un EXS Server.
 
Après tu peux bien evidement avoir des failles sur tes serveurs virtuels mais là aussi, cela ne dépend que de l'OS et dans tout les cas cela ne peut interagir ni sur ton Hote ni sur les autres VM.

justement comment peux-tu lancer ton code sur le core reel  ?. Puisqu'il n'est pas visible à partir des VM ?.

pour faire ce genre de manip, il faudrait se connecter au serveur Hote (via l'interface d'admin) et lancer ton code. A travers une VM c'est pas possible.

tout à fait, mais tu exploiteras quoi via cette faille ?.  

Je te rappelle que celle tes machines virtuelles sont exposés (et donc leur processeur virtuel).  Donc ton code malicieux tentera en vain d'exploiter une faille (à travers un OS virtuel) qui n'existe pas sur un processeur virtuel.

Dans le cas d'une version VMWare ESX, la machine "maitre", tu ne la vois qu' à travers l'interface réseau d'administration (que bien evidement tu connectes à ton lan et non pas à ta DMZ).  Et à ma connaissance il n'y a pas encore eu d' "Exploit" sur les parties Hotes d'un EXS Server.

Après tu peux bien evidement avoir des failles sur tes serveurs virtuels mais là aussi, cela ne dépend que de l'OS et dans tout les cas cela ne peut interagir ni sur ton Hote ni sur les autres VM.

oui, il ya bien un "pont" physique mais AUCUN pont logique. => tu ne risques rien en terme de sécurité réseau (en tout cas pas plus de pb qu'avec 2 serveurs).

Ca par contre je comprends pas, les serveurs ont beau être hébergés sur la même machine, ils sont quand même complètement indépendants non ?

Salut.

Sous vmware, on instancie des switchs virtuels qui supportent le 802.1q; il suffit ensuite de déclarer sur le switch physique les vlans qui vont biens et de mettre les ports en trunk.

Si ta DMZ est commutée sur le même switchs que les autres réseaux, tu peux héberger une machine virtuelle de DMZ dans la meme machine physique que des machines du réseau interne (le cloisonnement en vlan est fait aussi dans le switch virtuel)

Si ta DMZ est commutée sur des switchs différents, tu peux mettre plusieurs cartes dans ta machine physique, une carte réseau physique pour la DMZ et une carte réseau pour le switch virtuel des réseaux internes.

Salut.
 
Sous vmware, on instancie des switchs virtuels qui supportent le 802.1q; il suffit ensuite de déclarer sur le switch physique les vlans qui vont biens et de mettre les ports en trunk.
 
Si ta DMZ est commutée sur le même switchs que les autres réseaux, tu peux héberger une machine virtuelle de DMZ dans la meme machine physique que des machines du réseau interne (le cloisonnement en vlan est fait aussi dans le switch virtuel)
 
Si ta DMZ est commutée sur des switchs différents, tu peux mettre plusieurs cartes dans ta machine physique, une carte réseau physique pour la DMZ et une carte réseau pour le switch virtuel des réseaux internes.

4 Liscence bien sur.
 
le truc pour ta DMZ et ton LAN, c est qu en 1 point, tu aurra 1 ordinateur (celui qui gere les serveur virtuel) qui sera a la fois connecté a la DMZ et au LAN.
 
 
en gros, tu créé un pont entre les deux mondes qui d un point de vue securité ne devrait jamais exister

:D
Bah vu qu'apriori cette machine aura deux cartes réseau, une sur le LAN, l'autre dans la DMZ, je sais pas trop quoi répondre à ta question  :/
Question débile : si je virtualise 4 serveurs Win 2003 sur la même machine, il me faut 4 licences 2003 ou 1 seule ?

Excuse mon ignorance, mais c'est quoi un serveur maitre ?