Plusieurs Sites internes HTTP/HTTPS ..



  • Bonjour a tous et merci de l'attention que vous porterez à mon problème.

    Je suis dans une entreprise qui possède 4 ip externes
    Actuellement on n'a pas mis en place de DMZ mais c'est tout à fait envisageable (je sais que c'est absolument necessaire d'un point de vue sécurité, mais étant donné le travail a effectuer pour tout changer ça n'a pas encore été fait)
    Plusieurs Sites sont hébergés en interne, on utilise des IP virtuelles sur le pfsense sur lesquelles sont natté certain ports vers le réseaux interne :

    Exemple:

    WAN – Pfsense (4ip dont une seule réelle) -- Lan (avec certain sites accessibles via des nats)

    Ma problématique est la suivante : On va demander a notre FAI de déclarer un nouveau nom DNS pour que nos employé puissent accéder a une certaine ressource Https via l'extérieur...
    tout nos ports 443 externes sont déjà utilisés, comment faire pour que les demandes externes a destination du port 443 arrivent bien a notre serveur sécurisé interne (qui peut être mis dans une DMZ crée pour le cas)

    Merci D'avance. N'hésitez pas si vous désirez de plus amples informations



  • Vous allez pouvoir faite d'une pierre deux coups.

    La sécurité des serveurs web exposés sur internet (et pas seulement) nécessite la présence d'une firewall applicatif. Plus de 50% des intrusions sont réalisées par l'exploitation de failles applicatives (php, java, html, …). Le firewall de niveau 4 n'est pas suffisant. La base de construction la plus fréquente est un reverse proxy (pour simplifier Apache avec des modules comme mod_security entre autres). Le reverse proxy permet aussi la redirection vers un serveur web en fonction de l'url demandée.

    Cela dit encore plus basiquement l'utilisation de sites virtuels (voir config Apache) résoudrait votre problème. Une seule ip peut suffire pour héberger 50 sites distinctes.

    En terme d'architecture la bonne solution serait de placer le reverse proxy dans une dmz (c'est même indispensable). Une dmz dite externe qui accepte des connexions entrantes. Le ou les serveurs Web étant placés dans une dmz interne qui accepte des connexions depuis la dmz externe et depuis le lan. Depuis la dmz interne on accepte les flux sortant vers internet.
    Les connexions du lan (réseau interne) ne sont autorisées que vers la dmz interne (proxy pour le surf, serveur de mails).
    Aucune connexion entrante n'est autorisé vers le lan interne.
    La dmz interne ne reçoit des connexions entrantes que depuis la dmz externe. Elle peut initier des connexions vers internet.
    La dmz externe accepte des connexions internet entrantes. Elle ne peut contacter que la dmz interne.
    L'utilisation de Vlan dans les dmz permet d'améliorer l'isolation entre les machines pour empêcher les rebonds.



  • Je souscris généralement à l'avis de ccnet :

    • une dmz réunit les machines accédant directement à Internet ou pouvant être accédé directement depuis Internet,
    • les règles devraient être LAN -> DMZ et DMZ -> WAN et non LAN -> WAN,
    • même si un intrus prend la main sur une machine en DMZ, il faut lui compliquer la tache pour qu'il rebondisse vers le LAN.

    Si vous avez compris qu'une DMZ est nécessaire (et cela semble le cas), il FAUT le faire, et pas attendre une catastrophe …

    Néanmoins, la problématique est ici, aussi, l'hébergement de site https (443/tcp).
    La technique du "reverse-proxy" permet, aisément, d'héberger N sites web (http) avec une seule ip publique. OK.
    Qu'en est-il avec https ? Est-on limité à 1 site https = 1 adresse ip publique ?



  • On pourra consulter avec profit : http://vulture.open-source.fr/wiki/



  • Merci a vous, bon on dirais bien que je vais devoir mettre en place un reverse proxy, je comptais également mettre en place un proxy Squid et Squidguard :

    Vulture me fait un peu flipper niveaux administration et compréhension du soft ça a pas l'air de la tarte mais bon il a l'air puissant interessant, on verra si je m'en sors.

    C'est possible de mettre le proxy et le reverse proxy sur la meme machine debian ? je pense a un seul serveur qui aurait le couple Squid et le vulture a la fois.

    Merci de vos réponces :)



  • C'est possible de mettre le proxy et le reverse proxy sur la meme machine debian ?

    Tout est il toujours possible ? A mon avis cela risque d'être très, très délicat. Par ailleurs cela contrevient aux principes de séparation des flux en fonction de leurs origines et destinations. C'est dangereux.

    Si vraiment il n'est pas possible de séparer physiquement alors vous avez un compromis possible avec la virtualisation sur un ESX. Mais là encore vous ferez un gros compromis en ayant un ESX avec des VM dans deux zones différentes (3 cartes réseaux minimum impératives), certes des dmz. Je ne suis pas très chaud non plus c'est le moins que l'on puisse dire.

    En utilisant les possibilités de la virtualisation il est peut être possible de distribuer les systèmes autrement ?



  • La séparation des rôles est possible, oui.
    Le problème qui en découle est la qualité de mon matériel à ce moment là …
    J'essaye d'acheter du matériel a très bas prix et a récupérer la plupart du temps des anciennes machines et serveurs obsolètes dans l'entreprise.
    A ma disposition j'ai rien de très très puissant, (DELL poweredge 840)
    Pour un proxy ou un reverse proxy j'ai vraiment beaucoup de mal a estimer les configurations nécessaires étant donné que je n'en ai jamais mis en production auparavant.

    Si je n'utilise le proxy que pour fonctionner avec Squidguard, sans l'utilisation de cache, aurais-je besoin de ressources importantes (pour commencer seul la naviguation de 30 poste sera soumise au filtrage)
    Pour le reverse proxy, je n'ai aucune idée du calcul pour le dimensionnement, peu de personne accèdent au site en simultané. (au maximum 20)

    Merci d'avance



  • Le power Edge 840 me semble déjà pas mal.



  • ok merci pour tout !
    Je teste tout ça et si je m'en sors je vous tiendrais au courant ^^
    Bonne journée


Log in to reply