Données critiques dans DMZ
K.BeeF
-
Giam153 Messages postés 49 Statut Membre -
Giam153 Messages postés 49 Statut Membre -
Bonjour,
J'ai un problème. Dans ma société je dois mettre une dmz en place. DMZ simple avec un firewall. Dans cette dmz 2 serveur sql. Ces serveur doivent être accessible par 2 clients externe qui doivent entrer des informations pour différents produits directement stocké dans les base sql.
Ces données sont donc critiques. Elles sont cryptées. Et je dois les sauvegarder avec un backup server coté LAN.
Cependant, je ne peux pas mettre de backup server dans la dmz, ni déplacer les base sql dans le LAN.
Alors comment faire ces backup ??
J'ai pensé ajouter une 2eme carte réseau sur les 2 serveur sql ainsi que sur le backup serveur coté lan afin de créer un réseau privé avec ces 3 serveurs.
Qu'en pensez-vous ?? Quelle est la meilleure solution niveau sécurité pour une telle configuration ??
J'ai un problème. Dans ma société je dois mettre une dmz en place. DMZ simple avec un firewall. Dans cette dmz 2 serveur sql. Ces serveur doivent être accessible par 2 clients externe qui doivent entrer des informations pour différents produits directement stocké dans les base sql.
Ces données sont donc critiques. Elles sont cryptées. Et je dois les sauvegarder avec un backup server coté LAN.
Cependant, je ne peux pas mettre de backup server dans la dmz, ni déplacer les base sql dans le LAN.
Alors comment faire ces backup ??
J'ai pensé ajouter une 2eme carte réseau sur les 2 serveur sql ainsi que sur le backup serveur coté lan afin de créer un réseau privé avec ces 3 serveurs.
Qu'en pensez-vous ?? Quelle est la meilleure solution niveau sécurité pour une telle configuration ??
A voir également:
- Données critiques dans DMZ
- Fuite données maif - Guide
- Trier des données excel - Guide
- Effacer les données de navigation sur android - Guide
- Données personnelles - Accueil - Windows
- Sauvegarde des données - Guide
12 réponses
merci. Mais en faite je dois faire les backup avec simantec backupexec.
Le probleme est que je ne veut pas passer par le firewall. Je veux en aucun cas ouvrir des ports entre le lan et la DMZ.
Le probleme est que je ne veut pas passer par le firewall. Je veux en aucun cas ouvrir des ports entre le lan et la DMZ.
Merci bien.
J'aimerais juste savoir exactement pourquoi le solution de la 2eme carte réseau avec un adressage IP privé et différent du lan n'est pas sécurisé ?? merci
Donc si j'ai bien compris, on ouvre des ports DMZ -> Wan et on fait du NAT Wan -> lan ??
J'aimerais juste savoir exactement pourquoi le solution de la 2eme carte réseau avec un adressage IP privé et différent du lan n'est pas sécurisé ?? merci
Donc si j'ai bien compris, on ouvre des ports DMZ -> Wan et on fait du NAT Wan -> lan ??
ok. Merci pour ton aide.
Je pense partir sur la solution de la 2eme carte réseau. Ces 3 serveurs ont une 2eme carte intégré. Je pensais simplement les relier avec un switch et appliquer un adressage privé différent du lan et de la dmz.
Je me pose juste un petite question. Si il y a intrusion dans la DMZ, le hacker pourra-t-il utilisé ce 2eme réseau privé pour atteindre le LAN ?
Et aurais-tu quelques liens ou autre d'une situation semblable (avec les 2 cartes réseau) ??
Je pense partir sur la solution de la 2eme carte réseau. Ces 3 serveurs ont une 2eme carte intégré. Je pensais simplement les relier avec un switch et appliquer un adressage privé différent du lan et de la dmz.
Je me pose juste un petite question. Si il y a intrusion dans la DMZ, le hacker pourra-t-il utilisé ce 2eme réseau privé pour atteindre le LAN ?
Et aurais-tu quelques liens ou autre d'une situation semblable (avec les 2 cartes réseau) ??
Firewall nokia.
Pour renforcer la sécurité, je pensai désactivé la carte réseau du backup server coté lan. Lorsque les backup doivent etre fait (dimanche soir), un script active la carte réseau. Comme cela, tout le reste du temps la porte vers le lan reste fermé.
Mais ces 3 serveurs seront relier par un switch et non un firewall.
Pour renforcer la sécurité, je pensai désactivé la carte réseau du backup server coté lan. Lorsque les backup doivent etre fait (dimanche soir), un script active la carte réseau. Comme cela, tout le reste du temps la porte vers le lan reste fermé.
Mais ces 3 serveurs seront relier par un switch et non un firewall.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Messieurs,
Je me permet de vous dire que je ne suis pas d'accord du tout sur ce que vous venez de dire.
Une DMZ n'est absoluement pas facultatif et il faut à tout pris éviter d'ouvrir des ports de votre firewall vers des machines positionnées sur votre LAN.
Si vous procédez comme ca, le petit malin qui prend la main sur la machine aura accès à l'ensemble du LAN (ci qui est à éviter).
En général :
WAN -> LAN (tout interdit)
WAN -> DMZ (ouverture partielle)
LAN -> DMZ (on peut tout ouvrir si on veut)
LAN -> WAN (on peut tout ouvrir si on veut)
Certaine entreprises vont même jusqu'a avoir plusieurs DMZ du type :
- 1 DMZ publique (pour des serveurs WEB par exemple : on ne sait pas qui se connecte : sécurité élevée)
- 1 DMZ privée (pour des applications spécifiques type extranet : on sait qui vien se connecter : sécurité moins élevée)
Pour ce qui est de la sauvegarde, il n'y aucun problème à sauvegarder une machine présente en DMZ même si la solution de sauvegarde est sur le LAN. Il faut juste que ce soit la machine présente sur le LAN qui initialise la connexion (LAN_> DMZ ouvert).
Pour ce qui est de ton firewall, n'aurais tu pas du Checkpoint qui tourne sur ton Nokia ?
Si oui, Checkpoint est une affaire de spécialiste. Même si ca parait simple ce ne l'est absolument pas et je ne saurai te conseiller de consulter la société qui t'as vendu le produit.
Je me permet de vous dire que je ne suis pas d'accord du tout sur ce que vous venez de dire.
Une DMZ n'est absoluement pas facultatif et il faut à tout pris éviter d'ouvrir des ports de votre firewall vers des machines positionnées sur votre LAN.
Si vous procédez comme ca, le petit malin qui prend la main sur la machine aura accès à l'ensemble du LAN (ci qui est à éviter).
En général :
WAN -> LAN (tout interdit)
WAN -> DMZ (ouverture partielle)
LAN -> DMZ (on peut tout ouvrir si on veut)
LAN -> WAN (on peut tout ouvrir si on veut)
Certaine entreprises vont même jusqu'a avoir plusieurs DMZ du type :
- 1 DMZ publique (pour des serveurs WEB par exemple : on ne sait pas qui se connecte : sécurité élevée)
- 1 DMZ privée (pour des applications spécifiques type extranet : on sait qui vien se connecter : sécurité moins élevée)
Pour ce qui est de la sauvegarde, il n'y aucun problème à sauvegarder une machine présente en DMZ même si la solution de sauvegarde est sur le LAN. Il faut juste que ce soit la machine présente sur le LAN qui initialise la connexion (LAN_> DMZ ouvert).
Pour ce qui est de ton firewall, n'aurais tu pas du Checkpoint qui tourne sur ton Nokia ?
Si oui, Checkpoint est une affaire de spécialiste. Même si ca parait simple ce ne l'est absolument pas et je ne saurai te conseiller de consulter la société qui t'as vendu le produit.
Merci lolo44.
Et que pense tu de la solution ajout d'une 2eme carte réseau avec réseau privé ? est-ce suffisamment sécurisé ?
Et que pense tu de la solution ajout d'une 2eme carte réseau avec réseau privé ? est-ce suffisamment sécurisé ?
Certainement pas :
=> Archi réseau pas top
=> Foireux à maintenir
=> Sécurité Nulle : Il suffit qu'un pettit malin prenne la main sur ta machine en DMZ afin d'accéder à tout ton lan en se servant de cette machine comme passerelle (cela revient à chinter ton firewall).
Si tu as du Nokia + checkpoint (cout de la solution non négligeable) c'est que tu as un réseau avec un nombre de postes relativement conséquent.
Valide si tu as bien du checkpoint sur ton Nokia. Si oui, le mieux est de contacter le commercial de checkpoint qui te mettra en relation avec un bon intégrateur sécurité. Si ce n'est pas du checkpoint, il faut voir.
Il m'est impossible de te donner une solution sans avoir un schéma réseau détaillé de ton architecture et c'est le genre de choses qui ne sont pas à mettre sur un forum.
=> Archi réseau pas top
=> Foireux à maintenir
=> Sécurité Nulle : Il suffit qu'un pettit malin prenne la main sur ta machine en DMZ afin d'accéder à tout ton lan en se servant de cette machine comme passerelle (cela revient à chinter ton firewall).
Si tu as du Nokia + checkpoint (cout de la solution non négligeable) c'est que tu as un réseau avec un nombre de postes relativement conséquent.
Valide si tu as bien du checkpoint sur ton Nokia. Si oui, le mieux est de contacter le commercial de checkpoint qui te mettra en relation avec un bon intégrateur sécurité. Si ce n'est pas du checkpoint, il faut voir.
Il m'est impossible de te donner une solution sans avoir un schéma réseau détaillé de ton architecture et c'est le genre de choses qui ne sont pas à mettre sur un forum.
Salut,
J'avais le même systeme avant. Je faisais ma backup en local (ntbackup) et après je lancer un transfert FTP sur une machine sauvegardée.
Slts
J'avais le même systeme avant. Je faisais ma backup en local (ntbackup) et après je lancer un transfert FTP sur une machine sauvegardée.
Slts
Tu n'auras pas le choix hélas.
Si tu ne veux pas ouvrir de port en DMZ et LAN, tu seras obliger de faire tes backups en local.
N'installes surtout pas de 2eme carte car la tu ouvres un brèche !!
Mais je tiens à attirer ton attention sur un point :
Le fait d'ouvrir des ports sur ta DMZ ou sur ton LAN ça revient au même point de vue sécurité.
L'important c'est de bien rediriger tes ports vers les bonnes machines.
On fonctionnait comme ca avant et ca posait des problèmes justement pour les sauvegardes et autres antivirus.
Depuis, On a fait des réglages NAT et nous n'avons plus de DMZ visibles, juste des ouvertures de ports sur des ports WAN qui pointent grâce au NAT vers des machines du LAN.
Au niveau sécurité, ça revient au même. D'ailleurs, la plupart des firewall ne propose plus de ports DMZ en natif mais des ports de "Optionnel" qui permette l'utilisation en DMZ ou bien en WAN secondaire ou en LAN secondaire.
Si tu ne veux pas ouvrir de port en DMZ et LAN, tu seras obliger de faire tes backups en local.
N'installes surtout pas de 2eme carte car la tu ouvres un brèche !!
Mais je tiens à attirer ton attention sur un point :
Le fait d'ouvrir des ports sur ta DMZ ou sur ton LAN ça revient au même point de vue sécurité.
L'important c'est de bien rediriger tes ports vers les bonnes machines.
On fonctionnait comme ca avant et ca posait des problèmes justement pour les sauvegardes et autres antivirus.
Depuis, On a fait des réglages NAT et nous n'avons plus de DMZ visibles, juste des ouvertures de ports sur des ports WAN qui pointent grâce au NAT vers des machines du LAN.
Au niveau sécurité, ça revient au même. D'ailleurs, la plupart des firewall ne propose plus de ports DMZ en natif mais des ports de "Optionnel" qui permette l'utilisation en DMZ ou bien en WAN secondaire ou en LAN secondaire.
Non en fait, tu utilises tes ports WAN en directs vers le LAN mais en n'ouvrant que les ports nécessaires.
La deuxième carte ne représente pas une brèche c'est une solution possible mais une peu galère quand même.
La deuxième carte ne représente pas une brèche c'est une solution possible mais une peu galère quand même.
