Bonsoir à tous,
J'ai un vieux PC (NAS) sur mon réseau local, accessible depuis l'Internet.
Le port entrant et redirigé vers l'adresse de ce PC par le routeur et de plus, placé en DMZ.
Questions :
- Cette situation est-elle correcte ?
- Est-ce bien la meilleure sécurité pour "isoler" mon réseau privé des accès extérieurs ?
Sinon, quelles sont les autres solutions ?
Je ne parle pas du contenu du serveur.
Merci
Problème résolu : N'oubliez pas de préciser ce que vous avez trouvé et les mesures prises. Merci
Pourquoi l’avoir mis en dmz ?
Vous routez tout ce qui n’est pas routé vers le NAS...
Commencez par ne rediriger que ce qui est utile
De quoi avez vous besoin depuis l’extérieur ? Un accès via l’interface ? Ou d’autres services style ftp, média, etc ?
La vie trouve toujours un chemin
Bonsoir Flyingbike,
Merci pour cette réponse.
Uniquement du port 80.Envoyé par Flyingbike
En DMZ, ne supposais un "isolement" plus important.
Problème résolu : N'oubliez pas de préciser ce que vous avez trouvé et les mesures prises. Merci
suite,
Et si je le retire de la DMZ, je pense que je ne pourrai plus y aller en réseau local ?
Problème résolu : N'oubliez pas de préciser ce que vous avez trouvé et les mesures prises. Merci
Non pas de problème. La machine qui est en DMZ reçoit toutes les requêtes sur les ports qui n’ont pas de règles de redirection établies. En fait ça expose la machine plus qu’autre chose dans votre cas.
Pour le port d’écoute, laissez 80 en interne, mais pourquoi pas faire une redirection depuis un port moins classique ?
Exemple ext:4567->int:80
Ca limite les tentatives d’accès rien que parce que le port est non conventionnel
Ensuite, la sécurité dépendra de l’authentification que votre serveur utilise
La vie trouve toujours un chemin
Bonjour,
Tes réponses sont brèves et claires, je pense avoir bien compris, je vais faire des tests et faire au mieux.
(Dans le temps j'avais un bon bouquin pour expliquer cela mais je ne le retrouve plus "La bible TCP/IP".)
Mais pour être sûr de bien comprendre (et pour d'autres lecteurs ?), quelques questions :
1) Dans ce que tu viens d'expliquer, tu cherches surtout à protéger "la machine".
(Dans mon message# 1 j'avais précisé : Je ne parle pas du contenu du serveur.
Je suis surtout soucieux pour les autres ordinateurs de mon réseau local.
La sécurité du serveur est un autre problème que je traite ensuite et donc à part.
2) Dans quels cas est-il intéressant de mettre une/des machines en DMZ ?
Du coup, je n'en vois pas l'utilité !
Tu n'aurais pas un exemple simple ?
Merci
Problème résolu : N'oubliez pas de préciser ce que vous avez trouvé et les mesures prises. Merci
Hello, désolé pour le retard j'avais oublié ce message
Alors non, j'avais mal lu, effectivement si le but est de protéger le réseau local d'une infiltration via le NAS, la DMZ est une bonne idée. Je pensais qu'il fallait limiter l'accès à la machine portant le NAS depuis l'extérieur. Il y a également la solution de faire deux sous réseaux distincts mais cette possibilité dépend de la box et c'est moins facile a mettre en place que la DMZ qui est faite pour cela.
Ensuite, chaque machine du réseau local dispose probablement d'un pare feu, et il reste possible de regarder les logs pour voir si des tentatives d'intrusion ont eu lieu (les box offrent également ce genre de possibilité, ca permet d'avoir une idée de ce qui se passe)
La vie trouve toujours un chemin
Bonjour Flyingbike,
Merci pour ce complément d'informations.
ça me semble maintenant clair.
En fait il y a 2 possibilités, c'est un choix ! (pour les cas basiques)
- le serveur est dans le "pot commun" DMZ et il reçoit tout ci qui se présente. Il est très exposé par rapport au réseau local.
- l'adresse IP du serveur (et éventuellement le N° de port) est redirigée vers une IP locale choisie (fixe)
Merci
[Résolu]
Problème résolu : N'oubliez pas de préciser ce que vous avez trouvé et les mesures prises. Merci
