Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1652 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  Question sur DMZ , serveur web et serveur BD

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Question sur DMZ , serveur web et serveur BD

n°286325
defjay
Posté le 19-06-2007 à 17:27:04  profilanswer
 

Ayant trouvé ce schéma pour simplifier la DMZ.

 

http://www.commentcamarche.net/protect/images/dmz.gif

 

Commentcamarche défini ces règles :

 

La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante :

 

   * Traffic du réseau externe vers la DMZ autorisé ;
    * Traffic du réseau externe vers le réseau interne interdit ;
    * Traffic du réseau interne vers la DMZ autorisé ;
    * Traffic du réseau interne vers le réseau externe autorisé ;
    * Traffic de la DMZ vers le réseau interne interdit ;
    * Traffic de la DMZ vers le réseau externe refusé.

 


Si je met, par exemple, les serveur Apache dans la DMZ et les serveur de BD Mysql sur le reseau interne
et vu qu'il y a ça de noté :

 

* Traffic de la DMZ vers le réseau interne interdit ;

 


Comment le serveur apache va interroger la BD Mysql ??? ou à default quelle architecture sécurisé / bon cout pour permettre de séparer tout ça.

 

J'ai un routeur et un firewall Cisco et une dizaines de serveurs web à héberger. Pour l'instant tout est dans une même DMZ.

 

Merci pour vos conseil

Message cité 1 fois
Message édité par defjay le 19-06-2007 à 17:27:46
mood
Publicité
Posté le 19-06-2007 à 17:27:04  profilanswer
 

n°286420
m3z
il faut toujours faire simple
Posté le 20-06-2007 à 10:39:18  profilanswer
 

Hello,  
 

defjay a écrit :


* Traffic de la DMZ vers le réseau interne interdit ;
* Traffic du réseau externe vers le réseau interne interdit ;
 
 
 
Si je met, par exemple, les serveur Apache dans la DMZ et les serveur de BD Mysql sur le reseau interne
et vu qu'il y a ça de noté :
 
Comment le serveur apache va interroger la BD Mysql ??? ou à default quelle architecture sécurisé / bon cout pour permettre de séparer tout ça.
 


 
Je pense qu'il ne faut pas prendre les indication au pied de la lettre. Si tu le fait, ton réseau ne peut pas accedé à internet et ton serveur apache ne peut pas accéder au sgbd.
 
Il y  a forcement des échanges entre la DMZ et le réseau internet mais ils ne sont autorisés hautement sécurisés. Seules certaines machines sont autorisés à accéder au réseau interne.
Par exemple tes serveurs Web en DMZ sont autorisés acceder au serveur SGBD situé sur le LAN interne et seulement au serveur SGBD !
Pour sécurité les acces web du réseau interne tu installes un relais obligatoire. Toutes les trames transites par ce relais et lui seul est autorisé à accéder au lan interne. Tu peux aussi forcer tout le traffic par le relais obligatoire (y compris les accès SGBD des serveur web) dans ce cas attention car la chute de ton RO entraine l'arret des serveur WEB !
Au niveau de ton firewall tu filtres et n'autorise ques les quelques adresses IP de ta DMZ qui sont autorisées. Aucune adresse externe n'est autorisé à accedé au LAN interne.
Il fortement conseillé de mettre en place un IDS (SNORT) sur ces machines et de les surveiller serieusement car si une intrusion survient il est plus que probable que ce soit d'une de ces machines.
 
Voilou  
 
A+


Message édité par m3z le 20-06-2007 à 10:43:43
n°286422
defjay
Posté le 20-06-2007 à 10:51:04  profilanswer
 

Ok merci, dans ce cas la :
 
Est-vraiment conseillé de mettre les serveur de BD autre part que dans la DMZ ?
Ou est-ce suffisant du fait qu'il y a le Firewall en amont ?
 
Merci

n°286431
m3z
il faut toujours faire simple
Posté le 20-06-2007 à 11:11:03  profilanswer
 

Hello,  
 
Oui c'est impératif pour la sécurité des données. Pas de serveur SGBD en DMZ. Si ton serveur SGBD etait compromis, tes données seraient disponible au hacker  et eventuellement detruite par ce dernier.
 
Le firewall amont est là pour abaisser les risques d'intrusion mais le réseau n'est réputé sûr qu'après le firewall aval. Donc il ne doit y avoir dans la DMZ aucun serveur qui ne soit directement lié aux services proposés à l'exterieur, c'est a dire Web, SMTP, FTP etc.
 
A+


Message édité par m3z le 20-06-2007 à 11:11:57
n°286452
defjay
Posté le 20-06-2007 à 11:57:04  profilanswer
 

Oui, oui bien sur mais ce sont des BD client, vu que c'est une prestation d'hébergement que je fait.

 

Concernant le BD interne (compta....) elle est sur le réseau local.

 

Dans ce cas, est-ce-utile de mettre les BD client qui sont donc de l'hébergement web classique (Apache + Mysql )  sur le réseau interne ?

 

Merci d'avance


Message édité par defjay le 20-06-2007 à 11:57:35
n°286511
m3z
il faut toujours faire simple
Posté le 20-06-2007 à 15:41:09  profilanswer
 

Hello,  
 
Oui oui sur le LAN interne le SGBD client.  
Met ca sur un sous-réseau particulier si tu préferes.  
Ca ne va pas te compliquer la vie tand que ca. Par contre ton client qui voit ses données partir en fumée ou à la concurence SI (=il va te compliquer la vie).  
 
A+


Message édité par m3z le 22-06-2007 à 16:29:52

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  Question sur DMZ , serveur web et serveur BD

 

Sujets relatifs
serveur de secours et DNS round robinProblème Win2K serveur avec java
[RÉSOLU] Modem Club-Internet pour connexion CetetelAccès à un serveur en donnant une autre adresse.
Petite question technique Freeboxrole du serveur dns
Question Livebox et multiposte?Les programmes pour un serveur complet sous XP
test de serveur ftpquestion de théorie sur le modèle OSI
Plus de sujets relatifs à : Question sur DMZ , serveur web et serveur BD


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR