Sécurisation accès distant multiples - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 07-05-2008 à 16:15:22
Oui mais une fois connecté à leurs serveurs, la MAC sera celle du serveur, or les serveurs doivent communiquer entre eux ... il me faut quelque chose qui empêcherai les prestataires d'aller plus loin que leurs serveurs ...
Je ne sais même pas si ça existe ...
Marsh Posté le 07-05-2008 à 16:28:05
segmenter le reseau en vlan n'est pas forcement une mauvaise idée , il te faut juste ajouter du routage et des access list.
Marsh Posté le 07-05-2008 à 16:31:29
Si tes trois serveurs doivent communiquer et que tu veux même pas qu'il soit possible d'accèder à ton serveur depuis un serveur...
Tu limites aux @IP ou @mac et ensuite tu n'autorises que les ports nécessaires.
Marsh Posté le 07-05-2008 à 17:03:47
Lessive tu pourrais développer s'il te plait
ta voie m'a l'air intéressante ^^
Marsh Posté le 07-05-2008 à 23:02:07
tes utilisateurs dans un vlan
tes 2 serveurs administrés par les presta dans un vlan
ton serveur dans un vlan
du routage entre les vlan via un routeur ou switch gerant le l3
le vlan utilisateur est autorisé a aller sur les 2 vlan serveurs sur des ports definis via access list
les 2 vlans serveurs autorisés a communiquer entre eux sur une plage de ports definie pour tes applicatifs
tu peux meme faire de la restriction au niveau IP pour les acces list mais ca devient en generale vite lourd a gerer , a faire uniquement si indispensable (et puis ca surcharge ton routage pour rien)
Marsh Posté le 06-05-2008 à 18:01:33
Bonjour,
Situation : 3 serveurs communiquent entre eux pour faire tourner des applications différentes, les unes aillant de temps en temps besoin des autres.
J'ai la main sur un serveur, et deux autres prestataires ont la main sur les 2 autres serveurs.
Nous nous connectons à distance.
J'aimerais faire en sorte que les serveurs puissent communiquer entre eux, mais que les 2 autres prestataires ne puissent pas accèder à mon serveur, et que je ne puisse pas accèder aux leurs. (évidemment ils ne connaissent pas mes mdp et je ne connait pas les leurs, mais si l'un d'eux veut vraiment rentrer, je ne pense pas que cette sécurité soit vraiment suffisante)
j'avais en premier lieu pensé à des Vlans, mais le fait que les serveurs doivent communiquer entre eux écarte cette solution.
J'ai ensuite pensé bloquer tous les ports sur les serveurs et ne libérer que ceux sur lesquels se connectent les deux autres serveurs (lorsque les applications communiquent entre elles), ainsi si un prestataire tente de connecter sur mon serveur via telnet ou ssh ... il sera bloqué. Mais les utilisateurs connectés sur ces serveurs ne pourront plus voir le voisinage réseau (port 445 il me semble) il me faudrait donc ouvrir ce port sur les serveurs ... les prestataires auraient donc accès à tout le voisinage réseau ...
Est ce que je me trompe ou Est ce que cette solution est plausible ? en existe il des plus adaptées ?
D'avance Merci à ceux qui prendront le temps de se pencher sur mon problème