Bonjour,
 
Voilà ma question qui concerne la sécurité du réseau de mon entreprise.
 
Nous allons mettre en place une plateforme collaborative de type egroupware. Pour cela, nous avons acheté un serveur. A l'initial, celui-ci sera mis en DMZ mais depuis peu, nous avons décidé de virtualiser pour avoir deux machines virtuelles (un egroupware en prod et un egroupware en test sur de nouvelles fonctionnalités). Ma question est la suivante :  
 
* d'un point de vue de la sécurité, est-ce une bonne idée de mettre uniquement mes machines virtuelles en DMZ et laisser le serveur hote sur mon réseau "normal" ?
 
Je précise que j'utilise VMware Server (la version gratuite).  
 
A vos claviers    
 
altarick

heu je comprends pas là??
Ton firewall ou routeur à une patte pour la DMZ, donc tu mets ton serveur dessus et après tu configures tes VM en conséquence pour le réseau.
http://fr.wikipedia.org/wiki/Zone_ [...] ris%C3%A9e

avec vMware serveur, je ne le ferais pas (hote en lan et guest en DMZ....)  pas contre avec une version ESX, je le fais et je le vois chez mes clients.
 

Ok donc vous mettriez tous en DMZ par crainte des failles de sécurité de VMware server, c'est bien ca ?

c'est pas un pb de faille de sécurité de la version serveur mais des pb de faille de securité sur l'OS qui fait tourner VMware Server.
 
 

Si il utilise une distrib linux comme os host, je vois pas le problème ...

C'est vrai qu'il y a pas de failles sur linux

Moi j'avais la même problématique: la machine hote est en DMZ et une deuxième tourne sous VMWare serveur en DMZ aussi.
 

juste, esx tourne pas sur un noyau linux  
D'ailleurs, c'est vrai qu'il n'a pas de faille non plus, esx  

Bonjour,
 
J'ai une nouvelle question ou plutot un gros doute.  
 
L'entreprise où je travaille a acheté un serveur sur lequel mettre la plateforme egroupware (cité dans mon post initial) sur une DMZ.
 
Là où j'ai un doute, c'est que cette machine doit aussi faire office de serveur de sauvegarde. Je pense que pour des raisons de sécurité, cette fonction ne doit pas etre sur un serveur DMZ.
Comme je vais sans aucun doute devoir faire avec, est t'il possible de "sécuriser" au maximum une DMZ en limitant le nombre de ports ouverts vers cette zone (dans mon cas, juste les ports nécessaires pour le web) ?
Ou alors la solution que je viens de vous présenter vous parait completement mauvaise au niveau de la sécurité ?

Tu as souvent moyen de limiter ce que tu veux sur ta DMZ (suivant le matériel qui te permet de gérer ta DMZ).  
 
Mais à mon avis c'est quand même comme tu dis: "completement une mauvaise idée"

 
Bonjour,
 
C'est en effet une mauvaise idée de mettre un serveur de sauvegarde en DMZ car il est censé contenir toutes les données (contabilité, informations sur le personnel...) de ton entreprise donc...
Pourquoi ne pas utiliser un reverse proxy sur ta DMZ qui renvoit sur ton serveur de messagerie sur le LAN ?  
Je pense monter un serveur e-groupware en virtuel et en prod sur mon réseau, est-ce contraignant à administrer (sauvegardes, logs...) car je n'ai pas trop de temps à lui consacrer ?
 
Merci

eGroupWare prend surtout du temps à configurer si tu souhaites t'attaquer d'une manière précise sur les droits d'accès aux ressources partagées. Y'a plusieurs "feintes" dans le logiciel à trouver. Apres sur la maintenance, de mon cote, il n'est pas encore en production mais d'apres ce que j'ai vu, c'est relativement simple : une fois que tout est bien configuré, ca tourne sans beaucoup d'intervention.
L'outil de sauvegarde de la BD est également bien fait. A propos des logs, je me suis pas trop attardé dessus pour le moment.

Merci pour ta réponse,
En fait, ce sont surtout les fonctions de dossiers publics, messagerie et carnet d'adresse partagé qui m'interessent, le reste ne sera pas utilisé.

Comme moi ^^
 
Pour le carnet d'adresse, tu iras voir dans les paramètres, tu peux activer un carnet d'adresse privé qui ne peut pas etre partagé. C'est ce que je vais mettre en place dans mon entreprise : un carnet d'adresse privé et un carnet d'adresse publique pour chacun. Seul bémol : eGroupWare ne fait aucun contrôle de doublon lors de la création d'un nouveau contact. Je pense passer par un export to Excel pour vérifier les doublons et les éliminer.  
La messagerie est simple à utiliser et ne devrait pas te poser de problèmes.
Par contre, là où j'ai encore une difficulté, c'est pour la synchronisation avec Outlook. J'utilise le dernier funambol qui me semble le plus abouti, et y'a des choses qui ne marchent pas (notamment avec les agendas).
 
Si tu veux de l'aide ou si tu peux m'aider dans mes difficultés, n'hésite pas.

Merci pour tes conseils Altarick, hélas, je ne synchroniserais pas les agendas (dans un premier temps) car nous avons déjà des agendas en intranet (possibilité avec l'éditeur de l'intranet de tout synchroniser : Internet <=> E-groupware <=> Outlook) et c'est pour celà que j'ai choisi E-groupware... en prévision du futur.
Je regarderais pour les carnets d'adresse... Je dois faire ma première install la semaine prochaine.