Créer une DMZ
-
Bonsoir
J'ai l'impression de demander quelque chose de super rare et pourtant de nombreux sujets en parlent ici sans donner la méthode, j'ai cherché à de nombreuses reprises sur le forum (tout le forum), dans les tutos qui pourtant donnent des infos très simples ou très avancées et dans le wiki aussi, mais je n'ai pas trouvé comment paramétrer une interface que l'on défini pour être une DMZ ?
Dois-je simplement créer une règle PASS any any ?
et pour les ports ? Il n'y aura plus rien à ouvrir ?Merci
(un petit bug, quand on prévisualise une réponse sur le forum, le texte est en blanc sur fond blanc)
-
Non non, tu ne demandes pas une chose super rare. En contraire, les DMZ sont utiliser três souvent. Alors, c'est beaucoup plus facile que tu penses:
1. DMZ signifie une interface ou les ports necessités sont ouverts et le reste fermés. Au contraire sur le LAN tous les ports sont normalement fermé.
2. Pour installer une DMZ tu definis une interface et ouvres les ports nécessaires. Peut-être tu dois aussi configurer le NAT Port forwarding.
3. Sur le LAN tu permis de entrer le WAN et la DMZ. Mais sur la DMZ tu interdis de entrer le LAN (allow DMZ->WAN et block DMZ->LAN)C'est tous.
-
Non non, tu ne demandes pas une chose super rare. En contraire, les DMZ sont utiliser três souvent. Alors, c'est beaucoup plus facile que tu penses:
1. DMZ signifie une interface ou les ports necessités sont ouverts et le reste fermés. Au contraire sur le LAN tous les ports sont normalement fermé.
2. Pour installer une DMZ tu definis une interface et ouvres les ports nécessaires. Peut-être tu dois aussi configurer le NAT Port forwarding.
3. Sur le LAN tu permis de entrer le WAN et la DMZ. Mais sur la DMZ tu interdis de entrer le LAN (allow DMZ->WAN et block DMZ->LAN)C'est tous.
Oui et non. Ce n'est pas vraiment tout. On peut difficilement réduire la création d'une dmz à une recette. Avant même de parler de créer une dmz (d'ailleurs une est-ce suffisant ?) il est nécessaire (indispensable) d'avoir une réflexion nettement plus globale et en profondeur. On ne peut pas réduire la sécurité réseau à une dmz.
-
@Epy:
Bonsoir
J'ai l'impression de demander quelque chose de super rare et pourtant de nombreux sujets en parlent ici sans donner la méthode, j'ai cherché à de nombreuses reprises sur le forum (tout le forum), dans les tutos qui pourtant donnent des infos très simples ou très avancées et dans le wiki aussi, mais je n'ai pas trouvé comment paramétrer une interface que l'on défini pour être une DMZ ?
Dois-je simplement créer une règle PASS any any ?
et pour les ports ? Il n'y aura plus rien à ouvrir ?Merci
(un petit bug, quand on prévisualise une réponse sur le forum, le texte est en blanc sur fond blanc)
Votre demande n'est pas rare, mais sa formulation est surprenante. Elle montre pour le moins que vous n'êtes pas très familier des concepts de sécurité. La dmz est plus un concept qu'une fonctionnalité. L'idée de base est qu'il est nécessaire de cloisonner les différents trafic selon leur provenance, leur destination et leur nature, cela de telle façon que les systèmes et informations de l'entreprise soient le moins exposés possible alors que l'entreprise est connectée à Internet.
Ceci pour faire un résumé bref et donc réducteur.
Plus que d'avoir un "tuto pour configurer une dmz" il importe d'en comprendre les fondements, les raisons et les implications. -
Merci pour vos réponses, elles ne me surprennent pas vraiment.
Monoecus, ce que tu décris je le fais déjà pour le LAN, j'ai un port ouvert pour les torrents par exemple, puisqu'ils tournent sur mon poste de travail pour le moment (je rassure les modos/admins rien d'illégal dans mon utilisation des torrents, je télécharge et partage du libre)
Tous les autres ports sur le LAN sont fermés. Je suppose que pour une DMZ c'est autre chose qu'il faut faire non ?Depuis quelques jours j'ai un serveur, (fabriqué et conçu par une société, pas une machine installée par mes soins) ce serveur est sécurisé et peut être placé dans une DMZ parce qu'il permet d'accéder à de nombreux services.
Le but est donc de me permettre d'accéder à ce serveur depuis "n'importe où" et de refermer les ports ouverts sur le LAN.
Je ne suis pas ingénieur en sécurité, mais j'ai quand même été formé un minimum (outre l'apprentissage en autodidacte aussi), je ne pense pas être complètement débile non plus.
J'utilise PFsense à la maison et non en entreprise en production, j'ai donc quand même une marge de manoeuvre plus grande. Ça ne devrait pas m'empêcher de vouloir/pouvoir apprendre avec la pratique sur des fonctions "de base" d'un routeur.J'ai l'impression que sur certains forums on ne peut pas poser de questions pour apprendre, on se fait de suite jeter "Si tu sais pas c'est que t'en a pas besoin ou que tu ne dois pas l'utiliser", c'est bien dommage /O\
Et effectivement, non, je ne sais pas encore en quoi consiste exactement une DMZ en pratique (au niveau parefeu et ouverture des ports), est-ce qu'il vous serait possible de me l'expliquer ? (Comme je l'ai dit, j'ai quand même des bases, je ne vous demande pas de faire un cours complet sur les réseaux et la sécurité, juste une explication sur ce qu'il faut faire faire au routeur pour avoir une DMZ sur une interface dédié à ça)
Je vous en remercie par avance.
-
Je ne vais pas vous expliquer ici la sécurité des réseaux parce que je ne me vois pas rédiger les dizaines et dizaines de pages nécessaires. Je peux vous donner quelques pistes bibliographiques.
Sécurité informatique : Principes et méthodes de Laurent Bloch, Christophe Wolfhugel
Les livres de Bruce Scneier aussi.
Le site de hsc.fr comporte beaucoup d'informations intéressantes.
Le site de Christian Caleca pour vérifiez vos bases.
Le site du clusif.Intéressez vous d'abord aux méthodes et concepts plutôt qu'au recettes (Comment sécuriser Windows 2003). Cela implique de se pencher sur les principes des réseaux TCPIP (qu'il faut bien connaitre), les protocoles (en détail, y compris couche 2), la cryptographie, …
Si vous regardez les posts de ce forum, vous trouverez pas mal de réponses en termes d'architecture sur des questions de sécurité. -
Décidément on ne se comprend pas
J'ai déjà des bases bien suffisantes pour ce que je veux faire, que ce soit dans mon métier ou à titre perso, là j'ai juste besoin d'une DMZ.
Je connais quand même bien le sujet, j'ai le CCNA 1, mais c'est de la théorie, et la pratique que j'ai (en formation AFPA niveau III ou autodidacte) fait que je n'ai jamais créé de DMZ, donc je ne suis pas sûr d'en quoi ça consiste.Mais bon, je vais aller chercher mes réponses ailleurs, apparemence ici c'est pas fait pour ça.
Merci
-
Regardez la documentation : http://doc.m0n0.ch/handbook/index.html
Il y a des exemples de configurations. Avec n'importe quel firewall, créer une dmz, c'est créer une zone où les règles (en particulier trafic autorisé en sortie et en entrée) sont spécifiques à cette zone. C'est donc créer une interface avec un numéro de réseau spécifique (encore qu'il y a ai d'autres méthodes) et ensuite écrire les règles sur les interfaces. Dans votre cas c'est installé Pfsense avec 3 cartes réseau. OPT1 correspondra à votre dmz. Dans votre confuguration Wan ne devrait accepter que des connexions destinées après Nat destinées à la machine en dmz. Rien ne devrait entrer sur Lan et le strict minimum devrait sortir de votre réseau.Ne perdez pas de vue que dans Pfsense
1. les règles de nat s'appliquent avant les règles de filtrage.
2. les règles concernent le trafic venant du réseau connecté à l'interface.Je connais quand même bien le sujet, j'ai le CCNA 1, mais c'est de la théorie, et la pratique que j'ai (en formation AFPA niveau III ou autodidacte) fait que je n'ai jamais créé de DMZ, donc je ne suis pas sûr d'en quoi ça consiste.
C'est de la théorie … j'entends cette expression régulièrement quand la maitrise des concepts n'est pas là pour passer à la pratique.
Un exemple avec un schéma.
http://forum.pfsense.org/index.php/topic,13618.0.html -
@Epy:
Merci pour vos réponses, elles ne me surprennent pas vraiment.
Monoecus, ce que tu décris je le fais déjà pour le LAN, j'ai un port ouvert pour les torrents par exemple, puisqu'ils tournent sur mon poste de travail pour le moment (je rassure les modos/admins rien d'illégal dans mon utilisation des torrents, je télécharge et partage du libre)
Tous les autres ports sur le LAN sont fermés. Je suppose que pour une DMZ c'est autre chose qu'il faut faire non ?Depuis quelques jours j'ai un serveur, (fabriqué et conçu par une société, pas une machine installée par mes soins) ce serveur est sécurisé et peut être placé dans une DMZ parce qu'il permet d'accéder à de nombreux services.
Le but est donc de me permettre d'accéder à ce serveur depuis "n'importe où" et de refermer les ports ouverts sur le LAN.
Je ne suis pas ingénieur en sécurité, mais j'ai quand même été formé un minimum (outre l'apprentissage en autodidacte aussi), je ne pense pas être complètement débile non plus.
J'utilise PFsense à la maison et non en entreprise en production, j'ai donc quand même une marge de manoeuvre plus grande. Ça ne devrait pas m'empêcher de vouloir/pouvoir apprendre avec la pratique sur des fonctions "de base" d'un routeur.J'ai l'impression que sur certains forums on ne peut pas poser de questions pour apprendre, on se fait de suite jeter "Si tu sais pas c'est que t'en a pas besoin ou que tu ne dois pas l'utiliser", c'est bien dommage /O\
Et effectivement, non, je ne sais pas encore en quoi consiste exactement une DMZ en pratique (au niveau parefeu et ouverture des ports), est-ce qu'il vous serait possible de me l'expliquer ? (Comme je l'ai dit, j'ai quand même des bases, je ne vous demande pas de faire un cours complet sur les réseaux et la sécurité, juste une explication sur ce qu'il faut faire faire au routeur pour avoir une DMZ sur une interface dédié à ça)
Je vous en remercie par avance.
Je te comprends bien et je veux bien t'aider. Alors, DMZ est vraiment que du «Jargon». En fait c'est exactement ce que tu fais avec le LAN et Bittorrent, mais avec une exception: le LAN peut connecter avec la DMZ mais autrement la DMZ ne peut pas contacter LAN. En bref: DMZ est une simple interface comme LAN avec quelques règles de plus. Je suis tout-à-fait d'accord avec ccnet que c'est important de penser bien sur un concept intégral de la sécurité de son réseaux. Et, oui, la DMZ est seulement une chose.
-
Ah ben voilà qui est beaucoup plus clair dans mon esprit, merci à tous les deux ;)
la DMZ n'est qu'un cloisonnement des services qu'on veut proposer à l'extérieur pour éviter de les avoir sur le LAN, ben c'est pas du tout ce que j'avais compris quand on m'a expliqué la théorie, ou alors ce sont les personnes qui m'ont expliqué qui n'avaient pas la chose bien claire.J'ai déjà 3 interfaces sur le routeur pfsense, j'avais prévu le coup quand j'ai acheté une Alix2c3 il y a quelques mois mais je n'avais pas encore eu le courage de me pencher sur la DMZ.
Bien, reste plus qu'à ouvrir ces ports et créer les règles. Je n'y arrive pas encore aussi facilement que je le voudrais mais j'apprends bien plus de choses avec Pfsense qu'avec les routeurs commerciaux "trop simples"Merci encore