Topologie réseau pour nouvelle infra - des conseils?

felix_clerc · 17 Septembre 2013 à 23:05:40

Bonsoir,
Je planifie de mettre en place une nouvelle infrastructure pour héberger quelques services chez moi, et je me dis que plusieurs avis sont toujours mieux qu'un seul...
Je pense partir sur des machines virtuelles sous hyper-v 2012 R2 à base de CentOS (à part pour le serveur TV), et je pense à mettre en place (au moins):

1 Domain Controller sous Samba 4 (AD version 2008 R2)
1 Autorité de certification racine
Horde 5 (avec ActiveSync)
Sophos UTM (ex astaro) pour le pare-feu

S'y ajoutera, comme je l'ai dit, un Windows 8.1 pour le serveur TV, et éventuellement un serveur web, ftp, p2p...
Ma première question concerne la topologie réseau. Sophos fait proxy, reverse proxy, antivirus, anti-spam, etc... Créeriez-vous une DMZ?
Et si oui, pour y mettre quoi?
J'ai vu que certains mettent un reverse proxy dans la DMZ pour horde, qui redirige vers le "vrai" serveur dans le Lan. Etant derrière l'UTM, ça a du sens? Surtout en se disant que ça ferait ouvrir tous les ports nécessaires à l'AD, MySQL, etc... Pourquoi ne pas diriger directement dans le Lan?
Quitte à avoir une DMZ pour les serveurs web ou ftp, mais pas le mail?
Deuxième point, mais pas des moindre: Le nom du domaine local! Devrais-je donner à mes serveurs le même FQDN interne qu'externe? ça aurait un quelconque avantage pour un passage en IPV6?
Actuellement, mon domaine est toto.local, mais le FQDN externe est toto.com. Comme j'héberge mon propre DNS, qu'est-ce qui est recommandé? Actuellement je pointe des alias des adresses publiques sur des machines internes - je n'en aurais logiquement plus besoin...
En revenant sur samba, Microsoft recommande d'avoir au moins 2 DC dans un domaine, qu'en pensez-vous sous Samba - surtout si les 2 sont virtuels sur le même hôte physique...

J'aurai sûrement plein d'autres points qui sortiront, mais vos avis sur ceux-ci m'intéressent...

Merci d'avance

redge76 · 18 Septembre 2013 à 13:12:49

Une DMZ pour une infra a la maison ... OK ... Heu.... Pourquoi pas. Si tu parts a installer une PKI et tout le toutim....
Le but de la DMZ etant il me semble de creer un 2eme rempart si le service qui est dedans tombe aux mains d'un petit rigolo de hacker.
Donc si tu penses que tu risques d'etre attaqué (par un vrai hacker ou plus probablement par un script auto) une DMZ se justifie.
Globalement tout service pouvant communiquer avec l'exterieur doit etre dans la DMZ. C'est pas parce que ton horde est derriere l'UTM qu'il ne peut pas tomber. S'il est dans ta DMZ. Au pire il aura le droit de faire des requetes AD ou MSSQL. S'il est dans ton LAN .... il peut tout faire. En plus dans ta DMZ tu vas configurer des regles de sortie. (normalement hordes n'as pas le besoin et donc le droit de faire des connexions vers l'exterieur) S'il est dans ton LAN.... il va surement avoir les meme droits que toutes tes autre machines internes.... cad le droit de tout faire... (y compris servir des malware, faires des attaques DDOS, ...)
Enfin ouai.. la DMZ c'est bien.... Mais c'est un peu lourdingue a gérer.

> En revenant sur samba, Microsoft recommande d'avoir au moins 2 DC dans un domaine, qu'en pensez-vous sous Samba - surtout si les 2 sont virtuels sur le même hôte physique...
Bin ouai. si t as un problème hardware c'est sur que les 2 sont out... Mais il n'y a pas que les problèmes hardware dans la vie :-P il y a aussi les admins qui font dans "rm -rf *" dans le mauvais repertoire... Et la 2 ad... ca aide. Apres, si t'as un bon backup et si tu peux vivre 2h sans ton AD....

D'ailleurs en parlant de backup tu utilises quoi ?-.. Il me semble que c'est plus important que tout le reste.

A+

felix_clerc · 18 Septembre 2013 à 15:50:20

Merci Redge pour l'avis - ça rejoint un peu ce que je pense, la DMZ c'est bien, mais c'est lourdingue. Mais un reverse dans la DMZ limiterait énormément les accès d'un éventuel hacker, sans compter que si je pose du ftp/sftp/web/... 4a a un sens...
Pour les 2 DC, j'ai "l'habitude" d'en avoir deux, donc ça ne me gêne pas trop.
Pour les backups, ben, hyper-v permet de sauvegarder les VM à chaud avec le backup Windowsen utilisant VSS, donc je vais essayer ça, autrement ça risque d'être bacula
Par contre, quelle suggestion pour le nom du domaine? même chose interne/externe?

felix_clerc · 18 Septembre 2013 à 17:33:42

Article intéressant pour le nom de domaine AD: http://acbrownit.wordpress.com/2013/04/15/active-directory-domain-naming-in-the-modern-age/
Pour de sombres raisons de certificats, il recommande d'utiliser un sous-domaine de public, par exemple, si je possède toto.com, d'utiliser pour mon ad un nom du genre local.toto.com, ou ad.toto.com...
L'idée ne me semble pas si mauvaise, des avis?

jack · 18 Septembre 2013 à 17:59:17

Oulalalala

Aimes-tu souffrir ?
À quelle place met-tu la souffrance dans ta vie ?

DMZ et LDAP sont deux mamelles de l'enfer sur terre;

PS: ce message ne sert pas à grand chose .. M'enfin, si tu veux, pense à ne PAS utiliser ce type de technologies;

felix_clerc · 18 Septembre 2013 à 18:12:24

Heu, Jack, si j'ai bien compris, tu recommanderais plutôt de ne pas faire de DMZ, et de compter sur l'UTM pour gérer les accès depuis l'extérieur?

jack · 18 Septembre 2013 à 18:18:58

Je recommande de connaitre et maitriser l'intérieur du réseau, de configurer proprement les services activés.
Les attaques ayant pour source l'intérieur du réseau passeront ton firewall
Les attaques ayant pour destination un service passeront ton firewall
Les attaques ayant pour destination autre chose qu'un service seront rejetés par ton OS

Après, je ne connais pas le Sophos UTM, si ca fait du filtrage par analyse de contenu, ça peut-être intéressant (mais éthiquement discutable si tu n'es pas seul dans le réseau)

Donc pas de DMZ, pas de firewall et pas de Sophos UTM

felix_clerc · 18 Septembre 2013 à 18:45:03

@Jack,
C'est pas faux, néanmoins, sophos UTM est un très bon anti-spam, il y en a d'autres je sais, et il inclut pas mal d'autres trucs sympas, comme d'empêcher les gamins d'aller sur des sites de fesse...
Mais sur le fond, je suis totalement d'accord

redge76 · 18 Septembre 2013 à 22:01:46

> Les attaques ayant pour source l'intérieur du réseau passeront ton firewall
> Les attaques ayant pour destination un service passeront ton firewall
Heu .. oui... Justement il faut considérer que les services vont etre hackés. Le but est de rendre vraiment difficile la suite pour le hacker.
Hacker un serveur web est souvent assez facile des qu'on a le bon exploit. Apres il faut pouvoir en faire quelque chose. Si ton serveur est verrouille, le hacker va se retrouver avec un serveur ou il ne peut pas faire grand chose (enfin rien n'est impossible, mais comme t'es pas une banque il va abandonner....)

Le but est surtout que ton serveur web ou autre ne serve pas de robot pour lancer des attaques DDOC ou machin du style.

Le principal avantage que je vois d'avoir 2 AD c'est que quand t as besoin d'en arrêter un pour patcher ou autre... bin tout ne s'arrête pas...

> Donc pas de DMZ, pas de firewall et pas de Sophos UTM
C'est la solution que j'ai choisi.... Ca marche super bien. Il suffit de serrer les fesses et faire brûler un cierge tous les dimanches... :-P

A+

Caps Services - Forum

Rechercher