Mettre une machine virtuelle en DMZ : bonne idée ?

Mettre une machine virtuelle en DMZ : bonne idée ? - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 18-01-2008 à 15:37:27    

Bonjour,
 
Voilà ma question qui concerne la sécurité du réseau de mon entreprise.
 
Nous allons mettre en place une plateforme collaborative de type egroupware. Pour cela, nous avons acheté un serveur. A l'initial, celui-ci sera mis en DMZ mais depuis peu, nous avons décidé de virtualiser pour avoir deux machines virtuelles (un egroupware en prod et un egroupware en test sur de nouvelles fonctionnalités). Ma question est la suivante :  
 
* d'un point de vue de la sécurité, est-ce une bonne idée de mettre uniquement mes machines virtuelles en DMZ et laisser le serveur hote sur mon réseau "normal" ?
 
Je précise que j'utilise VMware Server (la version gratuite).  
 
A vos claviers  :)  
 
altarick

Reply

Marsh Posté le 18-01-2008 à 15:37:27   

Reply

Marsh Posté le 18-01-2008 à 15:51:30    

heu je comprends pas là??
Ton firewall ou routeur à une patte pour la DMZ, donc tu mets ton serveur dessus et après tu configures tes VM en conséquence pour le réseau.
http://fr.wikipedia.org/wiki/Zone_ [...] ris%C3%A9e

Reply

Marsh Posté le 18-01-2008 à 16:08:33    

avec vMware serveur, je ne le ferais pas (hote en lan et guest en DMZ....)  pas contre avec une version ESX, je le fais et je le vois chez mes clients.
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 18-01-2008 à 16:36:06    

Ok donc vous mettriez tous en DMZ par crainte des failles de sécurité de VMware server, c'est bien ca ?

Reply

Marsh Posté le 18-01-2008 à 17:15:56    

c'est pas un pb de faille de sécurité de la version serveur mais des pb de faille de securité sur l'OS qui fait tourner VMware Server.
 
 


---------------
Les cons, ça ose tout, et c'est même à ça qu'on les reconnait....
Reply

Marsh Posté le 21-01-2008 à 09:58:22    

Si il utilise une distrib linux comme os host, je vois pas le problème ...


---------------
---helvetik---
Reply

Marsh Posté le 21-01-2008 à 09:59:20    

C'est vrai qu'il y a pas de failles sur linux :o

Message cité 1 fois
Message édité par Je@nb le 21-01-2008 à 09:59:32
Reply

Marsh Posté le 21-01-2008 à 11:13:37    

Moi j'avais la même problématique: la machine hote est en DMZ et une deuxième tourne sous VMWare serveur en DMZ aussi.
 

Reply

Marsh Posté le 21-01-2008 à 11:42:41    

vrobaina a écrit :

avec vMware serveur, je ne le ferais pas (hote en lan et guest en DMZ....)  pas contre avec une version ESX, je le fais et je le vois chez mes clients.

 
Je@nb a écrit :

C'est vrai qu'il y a pas de failles sur linux :o


juste, esx tourne pas sur un noyau linux  :o
D'ailleurs, c'est vrai qu'il n'a pas de faille non plus, esx  :o

 



Message édité par helvetik le 21-01-2008 à 11:44:13

---------------
---helvetik---
Reply

Marsh Posté le 21-01-2008 à 11:46:26    

Bonjour,
 
J'ai une nouvelle question ou plutot un gros doute.  
 
L'entreprise où je travaille a acheté un serveur sur lequel mettre la plateforme egroupware (cité dans mon post initial) sur une DMZ.
 
Là où j'ai un doute, c'est que cette machine doit aussi faire office de serveur de sauvegarde. Je pense que pour des raisons de sécurité, cette fonction ne doit pas etre sur un serveur DMZ.
Comme je vais sans aucun doute devoir faire avec, est t'il possible de "sécuriser" au maximum une DMZ en limitant le nombre de ports ouverts vers cette zone (dans mon cas, juste les ports nécessaires pour le web) ?
Ou alors la solution que je viens de vous présenter vous parait completement mauvaise au niveau de la sécurité ?

Reply

Marsh Posté le 21-01-2008 à 11:46:26   

Reply

Marsh Posté le 21-01-2008 à 11:49:50    

Tu as souvent moyen de limiter ce que tu veux sur ta DMZ (suivant le matériel qui te permet de gérer ta DMZ).  
 
Mais à mon avis c'est quand même comme tu dis: "completement une mauvaise idée"

Reply

Marsh Posté le 30-01-2008 à 22:44:35    

altarick a écrit :

Bonjour,
 
J'ai une nouvelle question ou plutot un gros doute.  
 
L'entreprise où je travaille a acheté un serveur sur lequel mettre la plateforme egroupware (cité dans mon post initial) sur une DMZ.
 
Là où j'ai un doute, c'est que cette machine doit aussi faire office de serveur de sauvegarde. Je pense que pour des raisons de sécurité, cette fonction ne doit pas etre sur un serveur DMZ.
Comme je vais sans aucun doute devoir faire avec, est t'il possible de "sécuriser" au maximum une DMZ en limitant le nombre de ports ouverts vers cette zone (dans mon cas, juste les ports nécessaires pour le web) ?
Ou alors la solution que je viens de vous présenter vous parait completement mauvaise au niveau de la sécurité ?


 
Bonjour,
 
C'est en effet une mauvaise idée de mettre un serveur de sauvegarde en DMZ car il est censé contenir toutes les données (contabilité, informations sur le personnel...) de ton entreprise donc...
Pourquoi ne pas utiliser un reverse proxy sur ta DMZ qui renvoit sur ton serveur de messagerie sur le LAN ?  
Je pense monter un serveur e-groupware en virtuel et en prod sur mon réseau, est-ce contraignant à administrer (sauvegardes, logs...) car je n'ai pas trop de temps à lui consacrer ?
 
Merci

Reply

Marsh Posté le 31-01-2008 à 09:41:17    

eGroupWare prend surtout du temps à configurer si tu souhaites t'attaquer d'une manière précise sur les droits d'accès aux ressources partagées. Y'a plusieurs "feintes" dans le logiciel à trouver. Apres sur la maintenance, de mon cote, il n'est pas encore en production mais d'apres ce que j'ai vu, c'est relativement simple : une fois que tout est bien configuré, ca tourne sans beaucoup d'intervention.
L'outil de sauvegarde de la BD est également bien fait. A propos des logs, je me suis pas trop attardé dessus pour le moment.

Reply

Marsh Posté le 31-01-2008 à 19:10:31    

Merci pour ta réponse,
En fait, ce sont surtout les fonctions de dossiers publics, messagerie et carnet d'adresse partagé qui m'interessent, le reste ne sera pas utilisé.

Reply

Marsh Posté le 01-02-2008 à 09:29:16    

Comme moi ^^
 
Pour le carnet d'adresse, tu iras voir dans les paramètres, tu peux activer un carnet d'adresse privé qui ne peut pas etre partagé. C'est ce que je vais mettre en place dans mon entreprise : un carnet d'adresse privé et un carnet d'adresse publique pour chacun. Seul bémol : eGroupWare ne fait aucun contrôle de doublon lors de la création d'un nouveau contact. Je pense passer par un export to Excel pour vérifier les doublons et les éliminer.  
La messagerie est simple à utiliser et ne devrait pas te poser de problèmes.
Par contre, là où j'ai encore une difficulté, c'est pour la synchronisation avec Outlook. J'utilise le dernier funambol qui me semble le plus abouti, et y'a des choses qui ne marchent pas (notamment avec les agendas).
 
Si tu veux de l'aide ou si tu peux m'aider dans mes difficultés, n'hésite pas.

Reply

Marsh Posté le 01-02-2008 à 15:49:32    

Merci pour tes conseils Altarick, hélas, je ne synchroniserais pas les agendas (dans un premier temps) car nous avons déjà des agendas en intranet (possibilité avec l'éditeur de l'intranet de tout synchroniser : Internet <=> E-groupware <=> Outlook) et c'est pour celà que j'ai choisi E-groupware... en prévision du futur.
Je regarderais pour les carnets d'adresse... Je dois faire ma première install la semaine prochaine.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed