je possede chez moi un routeur/firewall de type smoothwall express sur une petite becane ( p200).
sur un autre pc, j'ai installé un serveur web, pop, smtp..
j'ai donc natté les ports en question pour que mon serveur puisse communiquer et recevoir des données depuis le net...
 
je me pose maintenant les questions:
mon firewall "protège" l'ensemble de mon reseau ainsi que mon serveur.. sauf les ports 25,110 et 80..  
1/ vaut-il mieux donc que je mette mon serveur dans une DMZ mais en installant un firewall logiciel dessus ( çà devient quand meme lourd)?
2/ ou bien que je laisse ma configuration initial?
 
3/ si je me pose cette question c'est juste pour savoir ce qui serais le plus propre à faire?
4/ le nat est-il une solution de facilité qui peut jouer des tours ( au niveau de la protection)?
5/ la DMZ va-t-elle apporter un lot de souplesse ou bien me rendre fou pour ce qui sera de la protection de ladite machine?
 
je sais, c'est pas trop clair mais c'est pour savoir quelles positions vous adoptez.. et pourquoi?

Je pense qu'il faut que t'arrete la parano
Un firewall pour un particulier c'est déjà tres bien.
Apres le reste, c'est pas au niveau réseau que ca se passe...
Tu peux bien avoir 50 firewall, si ton serveur http c'est IIS bein... tu vois quoi

ben disont que IIS c bien t'as pas grand chose à penser au niveau sécu. Mainteanant quand on regarde les attaques sur des Apache çà le fait aussi.
Pour ce qui est du particulier de toute façon je le voit pas acheter un gros cisco pr faire une DMZ.

 
je suis pas fou!
j'en quand meme quelques notions pour savoir que IIS est  à jeter .. tout comme le prix l'OS qui l'utilise...

 
 
dans le routeur/firewall que j'utilise, ya l'option pour mettre en place un DMZ!!!!
donc le prix...  

çà depend si t'as des dev. C plussur de prendre du Kro que du Linux qq fois.

j'oubliais de dire que je suis pas parano mais que la sécurité m'interesse.. donc je suis pret à faire des tests.. je suis bientot en vacances..

 
tu peux m'en dire plus?

Ben j'ai passé 1 ans à faire un cahier des charges sur un Intranet extranet pour une gestion client. Il y a que des boites de dev sur Kro qui ont été capable de reprendre tout les critères. D eplus les boites qui dev sur Linux (c pas une généralité aussi) sont souvent de 15 personnes ce qui veut dire que ds 5 ans on c pas trop ce qu'elle deviennent....

pas de garantie et assurance sur le dev. Et des technoligie qui pourrait être très vite obsolête le jour où on aurait demandé des mises à jour sur les codes sources.

je crois que l'on s'eloigne du sujet!
 
je ne demandais pas qu'est-ce qui est mieux entre kro et linux mais plutot ce que les professionnels utilisent entre une DMZ et le NAT!
suivant la configuration que j'ai cité...
mon serveur est sous 2000pro... mais ya de forte chance que je passe d'ici peu sous une distrib linux... histoire de se faire la main..

DMZ c bien mais fo être capable de logs tt avec ...donc coupler un softs de logs et d'alertes.
La NAT c plus simple

 
 
lol, c'est effectivement ce que j'avais cru comprendre!
 
merci!

La DMZ est une interface séparée sur le routeur... tu as en principe LAN, WAN & DMZ (tu peux avoir des routeurs avec bien plus d'interfaces).
 
Placer un serveur en DMZ te permet de définir des règles de passage d'une zone à l'autre. Par exemple la machine de ton serveur Web n'a probablement pas le droit de faire une connexion "NetBIOS over IP" sur les machines de ton réseau local... si tu place ton serveur sur le LAN et en supposant que ton serveur Web tombe il pourrait le faire, si il est en DMZ et que tu as interdit l'initiation de connnexions depuis la DMZ vers le LAN (ce qui est souvent le cas) il ne pourra pas.
 
La DMZ sert à mettre des serveurs devant être accessibles publiquement et depuis le LAN... c'est juste une méthode plus souple de gérer sa sécurité.
 
Après certaisn fabriquant trichent sur le terme (D-Link de mémoire) et proposent sous l'appellation DMZ qqch qui n'a rien à voir..

il y a un truc que je ne comprends pas c'est comment on peut mettre en parallèle NAT et DMZ, ça n'a stictement rien à voir, c'est comme comparer un VLAN et un partage de connexion!!!

Krapaud a raison de souligner que DMZ et NAT ne sont pas des notions de même nature. De plus en terme de sécurité il vaudrait mieux ne pas avoir le serveur dans la DMZ mais plutôt des relais qui soient en mesure de ne transmettre aux serveurs que des requêtes valides.

 
 
donc c'est que j'ai pas bien compris la notionde DMZ...  
 
je te remercie de me remettre ds le droit chemin M. Krapaud! donc je vais m'informer un peu plus sur le sujet!
 
je reviens quand j'aurais compris!

 
qu'est-ce donc que le relai dont tu parles?
 
la on commence à rentrer ds le vif du sujet!    çà commence à me plaire!

Prennons l'exemple du serveur http, si tu mets un serveur http dans ta dmz (qu'il soit "natté" ou non) celui ci reçoit toutes les requêtes provenant d'internet et notamment les requêtes potentiellement dangeureuses, par exemple volontairement mal formatées (attaque type contre IIS).  
 
L'utilisation d'un relai, dans ce cas un reverse proxy, permet de réduire ce risque. En effet le reverse proxy recevra toutes les requêtes (valides ou non) et pourra appliquer des règles de filtrages évoluées directement dépendantes de l'architecture de ton application web. Il pourra par exemple rejetter toute requête ne correspondant pas à une url explicitement autorisée et valide pour ton serveur web. Ainsi le serveur http sera configuré pour n'accepter que les requêtes provenant du reverse proxy et ne recevra donc que des requêtes valides.

 
   carrement intéressant!
 
je vais passer mes vacances à me renseigner...
donc si je comprend bien: l'architecture du reseau donerrais çà:
 
internet -->> routeur -->> DMZ -->> reverse proxy -->> serveur web!!
 
 
merci bcp Guru!
 
je viens de trouver çà suite à une petite recherche:
http://www.commentcamarche.net/lan/proxy.php3

Pour compléter ce que dit Guru, ce produit est assez intéressant :
http://www.arkoon.net/FR/firewall.php
 
Non seulement il agit comme un firewall classique, mais aussi vérifie la validité de bon nombre de requêtes au niveau applicatif.

 
je crois que NETASQ fais ds le meme style...  
 
mais la encore une fois on s'eloigne ( bien que cela soit interessant) du sujet...  
 
je remercie donc toutes les reponses des pros !
meme si apparement ma question au depart n'était pas correcte!

ne pas oublier que sur les petits routeur perso c pas vraiment une DMZ hein .... c sur le meme switch !!!