Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
789 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  [DMZ] [Virtualisation] [Philosophie] ..

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[DMZ] [Virtualisation] [Philosophie] ..

n°154079
axl the mu​x
Posté le 23-05-2018 à 10:14:10  profilanswer
 

Bonjour,
 
Devant renouveller le matériel de la DMZ, nous souhaiterions en profiter pour faire évoluer le schéma d'architecture dans un schéma avec 2 DMZ:
 
https://imageshack.com/a/img921/958/xJ2ek6.png
 
Cela pose cependant pas mal de question "existentielles" :  
 
Dans la DMZ interne nous souhaitons mettre les portails Web accessibles de l'extérieur.
Techniquement c'est possible mais ce pose alors la question de l'accessibilité de ces sites depuis le LAN :
Une DMZ doit elle être étanche "dans les 2 sens" et donc l'accés LAN -> DMZ est -il une faille de sécurité ?
Si c'est le cas, est on obligé de "dupliquer" les frontaux web dans le LAN ?
 
Ensuite pour créer la DMZ interne nous souhaitions héberger un nouveau réseau sur le serveur de virtualisation du lan.
Est-ce aussi une faille de sécurité ou peut on envisager cela sous réserve de mise en place de toute la sécurité nécessaire ?
 
Merci


Message édité par axl the mux le 23-05-2018 à 10:22:45
mood
Publicité
Posté le 23-05-2018 à 10:14:10  profilanswer
 

n°154081
Av3k
Posté le 23-05-2018 à 11:15:24  profilanswer
 

:hello:  
 
Pour répondre a tes questions en gros :
 
- Filtrage LAN -> DMZ oui cela doit etre étanche, reste que tu peux avoir des flux bien particuliers autorisés (rdp, ssh etc...)
 
Heberger un nouveau réseau sur le serveur de virtu? Je ne vois pas ce que tu veux dire, si tu sous entends déclarer un nouveau vlan sur ton hote avec ACL pour la DMZ et mettre tes VM DMZ dessus oui tu peux le faire.

n°154091
Charon_
Posté le 23-05-2018 à 16:28:43  profilanswer
 

Salut dans ton scénario il y a globalement 3 zones pour ces FW.
 - WAN
- DMZ
- LAN
 
Il faut donc des règles en place suivant la police choisie.
D'une manière générale, ça se fait dans ces directions :
Internet  -> WAN
DMZ -> Host/LAN/LAN2/ANY(INTERNET)
LAN  -> Host/LAN/LAN2/DMZ/ANY(INTERNET)
 
En gros chaque VLAN à sa propre "access-list" et on filtre ce qui rentre sur l'interface.
donc access-lsit DMZ filtrera le traffic entrant de la DMZ vers n'importe qu'elle autre zone,etc..
Même chose pour tes autres VLAN.
Ton access-list "WAN" filtrera le traffic entrant depuis l'internet.
Tu peux aussi faire un filtrage en entrée et sortie pour tes zone suivant les besoins de sécurité, mais c'est plus complexe.
 
Donc pour répondre à ta question de communication DMZ < - > LAN.
Il faut logiquement gérer les access-list pour le traffic de chaque zone :
source IP / dest IP / Port
 
donc pour que le LAN communique avec la DMZ, il faut donc filtrer :
 
access-list LAN <tcp/udp> ip source(LAN) ip destination(DMZ) port (xx-65535)
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  [DMZ] [Virtualisation] [Philosophie] ..

 

Sujets relatifs
Virtualisation disque partitionnéVirtualisation Hyper-V et moi, à l'aide !
Serveur d'acces RDS WEB en DMZConfiguration LAN et DMZ sur la même machine physique
voyants rouges eu demarrage Proliant ML350 et virtualisation hyper-vServeur, virtualisation, roles, licences
comment activé la prise en charge de la virtualisation dans le BIOSVirtualisation Oracle
Besoin d'aide pour virtualisation P2VVirtualisation d'un PC HS
Plus de sujets relatifs à : [DMZ] [Virtualisation] [Philosophie] ..


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR