Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1324 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Mettre une machine virtuelle en DMZ : bonne idée ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Mettre une machine virtuelle en DMZ : bonne idée ?

n°31181
altarick
Posté le 18-01-2008 à 15:37:27  profilanswer
 

Bonjour,
 
Voilà ma question qui concerne la sécurité du réseau de mon entreprise.
 
Nous allons mettre en place une plateforme collaborative de type egroupware. Pour cela, nous avons acheté un serveur. A l'initial, celui-ci sera mis en DMZ mais depuis peu, nous avons décidé de virtualiser pour avoir deux machines virtuelles (un egroupware en prod et un egroupware en test sur de nouvelles fonctionnalités). Ma question est la suivante :  
 
* d'un point de vue de la sécurité, est-ce une bonne idée de mettre uniquement mes machines virtuelles en DMZ et laisser le serveur hote sur mon réseau "normal" ?
 
Je précise que j'utilise VMware Server (la version gratuite).  
 
A vos claviers  :)  
 
altarick

mood
Publicité
Posté le 18-01-2008 à 15:37:27  profilanswer
 

n°31182
edouardj
Posté le 18-01-2008 à 15:51:30  profilanswer
 

heu je comprends pas là??
Ton firewall ou routeur à une patte pour la DMZ, donc tu mets ton serveur dessus et après tu configures tes VM en conséquence pour le réseau.
http://fr.wikipedia.org/wiki/Zone_ [...] ris%C3%A9e

n°31183
vrobaina
Hecho a Mano
Posté le 18-01-2008 à 16:08:33  profilanswer
 

avec vMware serveur, je ne le ferais pas (hote en lan et guest en DMZ....)  pas contre avec une version ESX, je le fais et je le vois chez mes clients.
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
n°31186
altarick
Posté le 18-01-2008 à 16:36:06  profilanswer
 

Ok donc vous mettriez tous en DMZ par crainte des failles de sécurité de VMware server, c'est bien ca ?

n°31188
vrobaina
Hecho a Mano
Posté le 18-01-2008 à 17:15:56  profilanswer
 

c'est pas un pb de faille de sécurité de la version serveur mais des pb de faille de securité sur l'OS qui fait tourner VMware Server.
 
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
n°31289
helvetik
Posté le 21-01-2008 à 09:58:22  profilanswer
 

Si il utilise une distrib linux comme os host, je vois pas le problème ...


---------------
---helvetik---
n°31290
Je@nb
Modérateur
Kindly give dime
Posté le 21-01-2008 à 09:59:20  profilanswer
 

C'est vrai qu'il y a pas de failles sur linux :o

Message cité 1 fois
Message édité par Je@nb le 21-01-2008 à 09:59:32
n°31294
Pims
Posté le 21-01-2008 à 11:13:37  profilanswer
 

Moi j'avais la même problématique: la machine hote est en DMZ et une deuxième tourne sous VMWare serveur en DMZ aussi.
 

n°31296
helvetik
Posté le 21-01-2008 à 11:42:41  profilanswer
 

vrobaina a écrit :

avec vMware serveur, je ne le ferais pas (hote en lan et guest en DMZ....)  pas contre avec une version ESX, je le fais et je le vois chez mes clients.

 
Je@nb a écrit :

C'est vrai qu'il y a pas de failles sur linux :o


juste, esx tourne pas sur un noyau linux  :o
D'ailleurs, c'est vrai qu'il n'a pas de faille non plus, esx  :o

 



Message édité par helvetik le 21-01-2008 à 11:44:13

---------------
---helvetik---
n°31297
altarick
Posté le 21-01-2008 à 11:46:26  profilanswer
 

Bonjour,
 
J'ai une nouvelle question ou plutot un gros doute.  
 
L'entreprise où je travaille a acheté un serveur sur lequel mettre la plateforme egroupware (cité dans mon post initial) sur une DMZ.
 
Là où j'ai un doute, c'est que cette machine doit aussi faire office de serveur de sauvegarde. Je pense que pour des raisons de sécurité, cette fonction ne doit pas etre sur un serveur DMZ.
Comme je vais sans aucun doute devoir faire avec, est t'il possible de "sécuriser" au maximum une DMZ en limitant le nombre de ports ouverts vers cette zone (dans mon cas, juste les ports nécessaires pour le web) ?
Ou alors la solution que je viens de vous présenter vous parait completement mauvaise au niveau de la sécurité ?

mood
Publicité
Posté le 21-01-2008 à 11:46:26  profilanswer
 

n°31298
Pims
Posté le 21-01-2008 à 11:49:50  profilanswer
 

Tu as souvent moyen de limiter ce que tu veux sur ta DMZ (suivant le matériel qui te permet de gérer ta DMZ).  
 
Mais à mon avis c'est quand même comme tu dis: "completement une mauvaise idée"

n°31999
skizzo
Posté le 30-01-2008 à 22:44:35  profilanswer
 

altarick a écrit :

Bonjour,
 
J'ai une nouvelle question ou plutot un gros doute.  
 
L'entreprise où je travaille a acheté un serveur sur lequel mettre la plateforme egroupware (cité dans mon post initial) sur une DMZ.
 
Là où j'ai un doute, c'est que cette machine doit aussi faire office de serveur de sauvegarde. Je pense que pour des raisons de sécurité, cette fonction ne doit pas etre sur un serveur DMZ.
Comme je vais sans aucun doute devoir faire avec, est t'il possible de "sécuriser" au maximum une DMZ en limitant le nombre de ports ouverts vers cette zone (dans mon cas, juste les ports nécessaires pour le web) ?
Ou alors la solution que je viens de vous présenter vous parait completement mauvaise au niveau de la sécurité ?


 
Bonjour,
 
C'est en effet une mauvaise idée de mettre un serveur de sauvegarde en DMZ car il est censé contenir toutes les données (contabilité, informations sur le personnel...) de ton entreprise donc...
Pourquoi ne pas utiliser un reverse proxy sur ta DMZ qui renvoit sur ton serveur de messagerie sur le LAN ?  
Je pense monter un serveur e-groupware en virtuel et en prod sur mon réseau, est-ce contraignant à administrer (sauvegardes, logs...) car je n'ai pas trop de temps à lui consacrer ?
 
Merci

n°32032
altarick
Posté le 31-01-2008 à 09:41:17  profilanswer
 

eGroupWare prend surtout du temps à configurer si tu souhaites t'attaquer d'une manière précise sur les droits d'accès aux ressources partagées. Y'a plusieurs "feintes" dans le logiciel à trouver. Apres sur la maintenance, de mon cote, il n'est pas encore en production mais d'apres ce que j'ai vu, c'est relativement simple : une fois que tout est bien configuré, ca tourne sans beaucoup d'intervention.
L'outil de sauvegarde de la BD est également bien fait. A propos des logs, je me suis pas trop attardé dessus pour le moment.

n°32122
skizzo
Posté le 31-01-2008 à 19:10:31  profilanswer
 

Merci pour ta réponse,
En fait, ce sont surtout les fonctions de dossiers publics, messagerie et carnet d'adresse partagé qui m'interessent, le reste ne sera pas utilisé.

n°32139
altarick
Posté le 01-02-2008 à 09:29:16  profilanswer
 

Comme moi ^^
 
Pour le carnet d'adresse, tu iras voir dans les paramètres, tu peux activer un carnet d'adresse privé qui ne peut pas etre partagé. C'est ce que je vais mettre en place dans mon entreprise : un carnet d'adresse privé et un carnet d'adresse publique pour chacun. Seul bémol : eGroupWare ne fait aucun contrôle de doublon lors de la création d'un nouveau contact. Je pense passer par un export to Excel pour vérifier les doublons et les éliminer.  
La messagerie est simple à utiliser et ne devrait pas te poser de problèmes.
Par contre, là où j'ai encore une difficulté, c'est pour la synchronisation avec Outlook. J'utilise le dernier funambol qui me semble le plus abouti, et y'a des choses qui ne marchent pas (notamment avec les agendas).
 
Si tu veux de l'aide ou si tu peux m'aider dans mes difficultés, n'hésite pas.

n°32169
skizzo
Posté le 01-02-2008 à 15:49:32  profilanswer
 

Merci pour tes conseils Altarick, hélas, je ne synchroniserais pas les agendas (dans un premier temps) car nous avons déjà des agendas en intranet (possibilité avec l'éditeur de l'intranet de tout synchroniser : Internet <=> E-groupware <=> Outlook) et c'est pour celà que j'ai choisi E-groupware... en prévision du futur.
Je regarderais pour les carnets d'adresse... Je dois faire ma première install la semaine prochaine.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Mettre une machine virtuelle en DMZ : bonne idée ?

 

Sujets relatifs
Impossible d'ajouter une machine à mon domaineComment mettre en évidence le cryptage de mon VPN
Apache, DMZ, et mod_redirecttélécharger des vidéos pour les mettre sur dvd
reglage look n stop et machine virtuelFaire un export vers un fichier de machine inscrite dans active direct
configuration iptables pour DMZServeur SMTP dans DMZ ISA 2004
Script d'administration : nom de machine, création d'user...AD : synchroniser l'heure de tout le parc machine
Plus de sujets relatifs à : Mettre une machine virtuelle en DMZ : bonne idée ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR