Bonjour à tous,
 
Je me suis fait un petit nœud au cerveau ces derniers jours, je vous explique :
 
Mon entreprise veut héberger un site web. Ok pas de problème : je met en place un Reverse Proxy que je positionne en DMZ et les serveur Web/BDD que je positionne sur mon LAN.
 
Seulement vient le moment de relier les deux et là je me dis : pour que ça fonctionne il faut que mon Reverse Proxy ouvre des connexions vers mon serveur Web positionné dans mon LAN. Hors le rôle d'une DMZ n'est il pas qu'il soit impossible qu'elle ouvre des flux vers l'intérieur mais plutôt que ce soit le LAN qui initie les connexions vers la DMZ ?
 
Alors que faire ? sur tous les sites que j'ai pu croiser ils préconisent de mettre le reverse proxy en dmz, comment font-ils ?  
- ils permettent à la DMZ d'ouvrir des connexions vers le LAN ? (ça ne me plait pas du tout)
- ils mettent leurs serveurs web et bdd en dmz ? (ça ne me plait pas plus)
- ils segmentent leur dmz en Vlan plus ou moins sécurisés ? (c'est la seule solution que je vois pour l'instant ...)
- What else ?
 
Si quelques uns d'entre vous ont déjà eu ce cas de figure ou ont une bonne idée pour respecter les règles de l'art je suis preneur !
 
Merci d'avance

Dans ton cas, pourquoi ne pas placer le serveur WEB en DMZ ?
A t'il absolument besoin d'être sur ton LAN ?

 
Oui il doit être sur le Lan, il y a toute une infra derrière avec des données clients sensibles, communication avec l'ERP, etc... Je sais bien qu'il ne faut pas être parano mais ça équivaudrait à mettre une bne partie de mon SI en DMZ et ça m'emballe pas.

Tu as pas le choix de filtrer entre ta DMZ et Ton LAN pour cette machine dans ce cas.  

 
J'ai déjà ouvert tous les flux mais....: nous utilisons la techno Cisco et si j'ai bien compris : il y a des "niveaux de sécurité" sur les 4 interfaces du firewall et mon interface DMZ a le niveau de sécurité le plus bas, cad qu'elle ne peut se connecter à aucune autres interfaces malgré tous les flux que je pourrai ouvrir ^^

Faux, tu as une case à cocher pour le permettre.
Ensuite, si ton site est en archi 2-tiers, tu peux mettre ton reverse proxy en dmz avec ip public, ton web serveur dans une seconde dmz, et ne laisser que la dB avec les données sensibles en interne.
Pour aller plus loin, si tu as la maîtrise du site, tu peux transformer ton reverse en Waf, en définissant les requêtes autorisés.
Vous avez dit parano ?

Merci trictrac. En effet ces deux cases à cocher m'intriguait sur le Firewall. L'admin réseau m'assurait qu'il ne fallait pas y toucher sinon les règles de filtrages n'étaient même plus prises en compte ... ça me semble un peu gros.
 
Donc tu confirmes que si je coche une des deux cases (à savoir laquelle maintenant ^^), on peut désactiver cette notion de "niveaux de sécurité" sur les interfaces tout en gardant les règles de filtrage paramétrées ?
 
Quand au Waf, j'utilise apache pour faire mon reverse proxy et je me lance dans le mod_security cette après midi. Ce matin je termine mon cluster de debian avec "heartbeat". Je n'ai jamais fait ni l'un ni l'autre mais je ss motivé

Je n'irais pas faire ca a l'arrache sans vérifier avant, mais sur le site de cisco, tu devrais trouver largement de la doc à ce propos.
En tout cas, c'est sur qu'il y a moyen que ca fonctionne.
Les niveau de sécu étaient là, à l'origine en tout cas, pour que dans la conf par défaut, tout le trafic était autorisé d'une zone sécurisée vers une zone moins sécurisée, ce qui permettait d'avoir une config fonctionnelle et plutôt secure sans rien toucher.