Création de DMZ avc 2 fw différents

Renji78 · 7 Mars 2006

Bonjour,

j'ai un petit soucis.je suis actuellement en fin de BTS alternance Informatique de Gestion(moi en alternance).
J'ai donc un projet à mener en entreprise que malheuresement je fais seul.
Voila mon projet est de réaliser un réseau d'entreprise sécurisé

grossiérement ca ressemeble a ca:

routeur---firewall----firewall---réseau (ethernet)
| |
DMZ DMZ
(serveur web) (serveur divers de données)

cependant, ce n'est qu'un projet et ne vais jamais voir la couleur des firewalls (et ui mon entreprise m'a juste suggéré l'idée que j'ai grandement amélioré).Dans mon projet j'ai une phase test et mise en production,donc je dois tt chercher sur le net,les problémes qui pourrait survenir (car on le sait bien en info la théorie et la mise en prod sont bien différentes)
les firewalls que j'utlise sont "SonicWALL PRO 2040 (total secure)" ainsi qu'un "Fortinet FortiGate 200A".
mon sonicwall serait sur la 1ere DMZ et le Fortinet serait sur la seconde.
Sauriez vous quelle problémes pourrait survenir lors de la mise en prod (probléme d'acces au réseau et au serveur web...etc),j'ai cherché sur le net et n'ai trouvé que le probléme sur le sonicwall comme quoi probléme d'acces au serveur web..je ne trouve rien d'autre..et ne vois pas trop ce qui pourrait arriver... :??: si quelqu'un à deja fait un projet similaire ou a deja manipulé ce genre de periphériques...

je galére pas mal si vous pouviez m'éclairer..ce serait super

t1cable:

Shor-T · 7 Mars 2006

Disons que tu pourrais mettre tes 2 serveurs dans la même DMZ, 2 firewalls ça sert pas à grand chose ...

Renji78 · 8 Mars 2006

merci d'avoir repondu

je sais on m'a deja dit cette remarque,mais dans ce cas c'est bien utile,j'isole le serveur web des serveurs de données.Si le 1er firewall tombe mes données seront toujours protégé par le suivant et si celui ou sont les serveur de données tombe,il y aura toujours le 1er qui sera là.(je sais un firewall peut avoir plussieurs port DMZ)
Il ne me reste à peine 1 mois :sweat: pour faire ma mise en production,je ne n'ai pas le temps de refaire mon projet avc une seule DMZ,j'ai fait tte mon étude par rapport à cette topologie.

Neoryuki · 8 Mars 2006

sami986 :

si ton 1er firewall tombe, ton pirate obtient un access granted user sur ton systeme, et passe à travers le 2eme firewall les yeux fermés

Donc la tu te fais chier pour rien, ca n'augmente en rien la securité du systeme

Et ce n'est pas parce que les 2 serveurs sont dans la DMZ qu'ils auront des droits l'un sur l'autre [:spamafote]

Gus_10 · 8 Mars 2006

Je suis bien d'accord avec Shor-t, il n'y a pas trop d'intérêt à mettre en place 2 DMZ. Mais bon, si ton projet est ainsi, alors goooo !
Tu peux rencontrer plusieurs problèmes. çà va te paraitre con, mais dans les configs de firewall, la politique est la suivante : "Tout ce qui n'est pas autorisé, est strictement interdit !" Donc çà veut dire en gros que si l'admin réseau ne stipule pas que le port 80 de ton serveur Web est accessible, bah c'est sur, çà risquera pas de marcher...
Si tu veux avoir une totale confiance en tes FW, je te conseille de rajouter ce que l'on appelle une STEALTH RULE. Elle se place en général en début de ta table de règles, et permet d'éviter les connexions directe sur ton firewall...
Tu peux avoir des tas et des tas de problèmes sur ton réseau. Précise peut-être quels types de pb tu recherche exactement ? Uniquement sur tes FW ???
Question à la ***, je suppose que ton routeur s'en va ensuite sur le net... Est-ce que ta DMZ de data doit aussi être accessible depuis le net ou non ???

Renji78 · 8 Mars 2006

Neoryuki merci de ta rep...cependant mes 2 fw ne sont pas de la mm marque...ca change rien?les failles de 'lun de ne sont pas les faille de l'autre???mais bon je suis loin d'etre expert...^^(qu'estce que " un access granted user sur ton systeme"???ya t'il un moyen pour ne pas qu'il l'ait et que mon 2ieme firewall pare ca???

Gus_10 merci a toi aussi de t'interesser à mon pb....

OK pour la STEALTH RULE...(elle comporte quoi cette régles???)
Les problémes recherchés, et bien je ne sais pas trop( à partles probléme d'acces je vois pas trop ce au'il pourrait y avoir--peut etre des pb d'adressage aussi..),il m'en faut surtout pour etoffer mon dossier,genre que ca fasse réel/vecu loool),car si dans mon projet il n'y a pas cette partie "mise en prod" ou autre ou encore qu'il ne parait pas "cohérant"...c'est un 4/20 qui m'attends

Oui mon routeur par sur le Net.Du net on ne pourra acceder qu'au serveur web (normal),mais pour les serveurs de données on le fera par VPN de l'exterieur,cette DMZ (serveurs données) devra aussi pouvoir etre autorisé depuis le reseau interne.Le reseau interne pourra accéder au Net via un proxy..mais pareil un autre pb se pose,il 'ny aura pas un pb d'entente entre les 2 pare-feu??car pour aller sur le net faut passer les 2!! :heink:

Neoryuki · 8 Mars 2006

Disons que QQ& qui arrive à passer à travers ton firewall devrait reussir à s'octroyer un acces utilisateur sur ton domaine sans trop de prob :/

Gus_10 · 8 Mars 2006

STEALTH RULE : en gros tu interdit les connexions sur les interfaces de tes firewalls...
Pour tes autres problèmes, ils peuvent être nombreux : mauvais cablage, mauvais adressage, ports non ouverts sur tes firewalls... enfin bref la liste peut-être très longue !!
A la limite si tu souhaites réellement utiliser deux firewalls, tu peux avoir l'archi suivante :

NET
|
_____Routeur _____
| |
FW1 FW2_____________
| | |
DMZ Serveur WEB DMZ DATA LAN

La çà impose des règles de routage assez net ! Mais bon au moins, tu évite des problèmes de lenteur que tu peux rencontrer dans ton schéma précédent pour le passage entre les deux firewalls ! Et puis là, plus besoin d'avoir un serveur proxy quelque part!!
Personnellement c'est comme çà que j'aurais tenter l'affaire, mais bon çà n'est que mon opinion !

Renji78 · 8 Mars 2006

Neoryuki ui dc si il passe le premier je suis b**ser...mais ya t'il un moyen de parer ca,mm si il passe mon firewall,pour l'empecher de se procurer un acces??

Gus_10 ui cette topologie j'y ai deja pensé, mais je n'avais pas vu l'interet de cette solution (le fait de les doubler me paraissait sympa ^^et super protect pour mon reseau (doubler la securité pour proteger mes donneés,c'eatit ca un peu mon point fort--->faut savoir que je suis dans une entreprise qui fait prés de 40millions de C.A annuel donc la protection des données (confidentialité..Etc)..loool..dc j'hésite(mais ce ne serais pasun gros boulot de faire ces modif sur mon projet..mais il est vrai que la topologie que tu me presente parait plus simple pour les vas et vient ds le reseau...latence...etc
Apres pour les regles de routage bon ba il suffit de données les bonne adresse de la pate routeur à la pate Fw???sauf si je les met en mode transparent???

pourquoi ya plus besoin de passer par un proxy...je sais q'un proxy c'est un histoire de routage on passe par un autre point pour aller sur le net..(bon dc je sais vaguement ce qu'est un proxy) :sweat:

Mes firewall je voulais les mettre en mode transpaent (pour m'eviter de me prendre la tete justement avc les histoire d'adressage)es-ce que je me trompe ds l'appelation ou ca sert bien a ca entre autre (inpingable,masque le reseau...Etc)???

c'est bien que vous me donniez vos avis car je n'ai aucun referentiel et dc ne sait si mon histoire tiens la route ^^

Gus_10 · 8 Mars 2006

cette topologie j'y ai deja pensé, mais je n'avais pas vu l'interet de cette solution (le fait de les doubler me paraissait sympa ^^et super protect pour mon reseau (doubler la securité pour proteger mes donneés,c'eatit ca un peu mon point fort

Comme te l'as déjà dit Shor-t, le fait de doubler ton Firewall ne va certainement pas doubler la sécurité de ton réseau. Ca parait logique, sinon, on en plante une vingtaine en file indienne, et vas-y amuse toi... Non c'est pas comme çà que çà marche. Si tu joue avec un FW, et que tu lui donne les règles de filtrages nécessaire, alors t'as moins de soucis à te faire. Mais doubler ne veut surement pas dire que ton réseau sera + secure !
Le fait que çà soit sympa ou pas, joli ou pas, on s'en fout. Faut que çà fonctionne. C'est çà le plus important non ?

Et puis à l'école on te dit tout le temps que le smots de passe c'est hyper hyper important, qu'il faut y passer une bonne semaine avant de trouver celui que personne ne crackera (j'exagère, mais c tout de même le principe) ERREUR ! Un administrateur réseau de base, va certainement pas se casser les pieds à changer les codes d'accès tous les jours, et va aller au plus simple ! Donc là, si t'as deux FW cul à cul, bah faut pas se leurer, mais dans 99% des cas, çà sera le même mot de passe! Donc crack le premier, et après rentre chez moi comme tu veux !!
Bref, si toi tu as décider de travailler de cette façon alors, ok. Mais personnellement je ne vois aucun intérêt !
Après pour l'archi que je t présenté, tu n'as plus besoin de ton serveur proxy. Le LAN, pour se connecter au net, passera dans un premier temps par le FW2 et ensuite direct sur le routeur. Le traffix est fluide et basta.
Par contre ton histoire de mode "transparent", je ne sais pas si c'est bel et bien le bon terme, mais sache que la stealth rule permet d'empêcher justement ce type de connexion direct sur ton FW.

Renji78 · 8 Mars 2006

Ok super...et bien ce que tu m'as expliqué vas me servir car je vais faire justement une phase test et j'expliquerai comme quoi l'on a testé les 2 topologies(la mienne et celle que tu m'as proposé) et expliquer comme quoi l'une avait un temps de latence importante..comme quoi on sait rendu compte que c'etait inutile de mettre des FW en file "indienne",s'il tombé l'autre etait facilement accessible..et que cette solution (la tienne) eviterai mm de passer par un proxy (un proxy c'est quoi une machine qui sert de routeur?)

Pour le mode transparent j'ai bien vu ces options dans les caracteristiques des pare-feu,moi on m'a expliqué comme quoi ca servait de pas se souler avc l'adressage des pate...etc...eenfin bon à la rigueur je trouverais bien sur le net ^^

Création de DMZ avc 2 fw différents

Renji78

Shor-T

Renji78

Neoryuki

Gus_10

Renji78

Neoryuki

Gus_10

Renji78

Gus_10

Renji78