Ubuntu-fr

nestapuccino

Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Bonjour,

J'ai besoin, pour un client, de mettre en place un environnement lamp. Je dispose d'une machine physique dédiée chez OVH sur laquelle j'ai mis en place apache et php. Seulement, les spécifications du projet indiquent qu'il faut que je place le serveur mysql dans une DMZ privée, et derrière un pare feu.
Pour cela, je pensais créer une VM sur la machine physique sur laquelle il y a actuellement apache et php, et installer sur cette VM le serveur mysql.

Quelqu'un sait quel serait le meilleur moyen de réaliser ce besoin ?

Merci beaucoup par avance

bruno

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Bonjour,
C'est quoi une DMZ « privée » ? Par définition une DMZ est accessible publiquement sur l'Internet.

nestapuccino

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Bonjour,
C'est quoi une DMZ « privée » ? Par définition une DMZ est accessible publiquement sur l'Internet.

DMZ publique : C’est une zone accessible depuis l’extérieur (internet) et l’intérieur (réseau interne
entreprise).
DMZ privée : Uniquement accessible par les réseaux internes.

Apparemment il existe deux types de DMZ.
En fait ma question c'est plutôt si quelqu'un a déjà mis en place un serveur mysql derrière un pare feu sur une machine virtuelle, quels sont les moyens pour mettre en place ce type d'architecture ?

bruno

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Désolé mais DMZ privée, pour moi cela n'a pas de sens…
Si tu as une ressource technique expliquant ce concept je serai très heureux de pouvoir la lire.

J'ai l’impression que tu t'acharnes à essayer de mettre en place une infrastructure complexe qui n'a pas lieu d'être. Il faudrait d'abord essayer d'expliquer pourquoi (et par qui) ces contraintes techniques (qui pour moi n'ont pas des sens dans le cadre d'un serveur LAMP) te sont imposés.

nestapuccino

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Désolé mais DMZ privée, pour moi cela n'a pas de sens…
Si tu as une ressource technique expliquant ce concept je serai très heureux de pouvoir la lire.

Si tu tape "dmz privée" sur google, tu trouveras plusieurs références. De ce que j'ai compris, la DMZ privée est un espace uniquement accessible par le LAN contrairement à la partie publique. Tu as peut être raison en disant que ça n'a pas de sens car ces concepts ne me sont pas trop familiers.

J'ai l’impression que tu t'acharnes à essayer de mettre en place une infrastructure complexe qui n'a pas lieu d'être. Il faudrait d'abord essayer d'expliquer pourquoi (et par qui) ces contraintes techniques (qui pour moi n'ont pas des sens dans le cadre d'un serveur LAMP) te sont imposés.

Si l'on prend la documentation officielle de mysql, on peut lire ça
"Investissez dans un coupe-feu. Cela protège de 50% de tous les types d'attaque et vulnérabilité. Placez MySQL derrière le coupe-feu, ou dans une zone démilitarisée (DMZ). "
http://dev.mysql.com/doc/refman/5.0/fr/ … lines.html
C'est ce que mon client souhaite, afin de protéger ces données et c'est également recommandé par mysql.
Je t'avoue que c'est la première fois que je dois mettre en place une telle architecture, habituellement je place LAMP de manière traditionnelle.

Je pensais utiliser vmbuilder (https://help.ubuntu.com/12.04/servergui … ilder.html), afin de créer une VM ubuntu sur laquelle serait pré-installée ssh et mysql. Et faire en sorte que cette VM n'accepte que des paquets de la machine physique sur laquelle j'ai installé apache+php.
Qu'en pense-tu ?

bruno

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

C'est recommandé par MySQL dans le cas d'un serveur accessible depuis l'extérieur part le port 3306 (et encore on pourrait discuter de l'utilité d'un pare-feu si ce n'est pour restreindre l'accès à certaines IP).

Sur une installation LAMP simple, le serveur Mysql n'écoute que sur l'interface de bouclage (configuration par défaut sous Debian/Ubuntu) il n'est donc pas accessible depuis l'extérieur. Dans ce cas l'utilisation d'un pare-feu et a fortiori d'une DMZ n'a aucun sens…

nestapuccino

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Sur une installation LAMP simple, le serveur Mysql n'écoute que sur l'interface de bouclage (configuration par défaut sous Debian/Ubuntu) il n'est donc pas accessible depuis l'extérieur

Merci pour ta réponse. Pourrais-tu me donner un lien vers une ressource expliquant ce que tu indique sur la configuration par défaut de mysql ?
Merci pour les explications en tout cas.

bruno

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Il suffit de regarder dans le fichier de configuration de Mysql fourni par les paquets Debian/Ubuntu :

/etc/mysqlµ/my.cnf

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address        = 127.0.0.1

cf. https://dev.mysql.com/doc/refman/5.5/en … nd-address

pour le reste voir la documentation spécifique Debian/Ubuntu.

Dernière modification par bruno (Le 01/10/2014, à 12:49)

nestapuccino

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Il suffit de regarder dans le fichier de configuration de Mysql fourni par les paquets Debian/Ubuntu :

/etc/mysqlµ/my.cnf

# Instead of skip-networking the default is now to listen only on
# localhost which is more compatible and is not less secure.
bind-address        = 127.0.0.1

cf. https://dev.mysql.com/doc/refman/5.5/en … nd-address

pour le reste voir la documentation spécifique Debian/Ubuntu.

Concrètement, si je scanne ma machine sur le port 3306, via la commande
"telnet <ip-server> 3306" et que la connexion est refusée, cela confirme que mon serveur mysql n'est pas accessible depuis l'extérieur mais seulement sur le reseau local et donc par mon apache ?
Pour toi, il n'y a aucun intérêt à créer une VM sur ma machine physique afin d'y installer mysql tandis que apache est sur la machine physique ?
(J'avoue qu'en plus, je galère beaucoup à créer la VM avec jeos et vmbuilder...la création a l'air de fonctionner mais après virsh me dit qu'elle n'existe pas)

nestapuccino

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Autre question : si j'ai traditionnellement installé apache+php et mysql serveur sur la même machine, que mysql est correctement configuré avec le bind-adress renseigné sur le localhost seulement, puis-je affirmé que mon serveur mysql est non accessible depuis internet et qu'il ne repond qu'aux requetes d'apache en local ? Ainsi, on peut dire qu'il n'est pas dans la partie publique de la machine puisqu'il est doté d'un pare-feu qui n'accepte que les requetes locales ?
Tu pense que je n'ai pas besoin d'installer mysql sur une VM pour réaliser ce dont j'ai besoin ?

Dernière modification par nestapuccino (Le 01/10/2014, à 15:52)

bruno

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Il n'est pas question de pare-feu. Dans sa configuration par défaut MySQL n'écoute que sur l'interface locale. Le serveur MySQL lui-même n'est donc pas accessible autrement que depuis la machine locale.

S'il y a des choses à sécuriser c'est sur les services ouverts sur l'extérieur qu'il faut se concentrer (Apache, SSH, etc.), et aussi bien sûr sur les scripts PHP qui ont accès au serveur MySQL…

nestapuccino

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

Il n'est pas question de pare-feu. Dans sa configuration par défaut MySQL n'écoute que sur l'interface locale. Le serveur MySQL lui-même n'est donc pas accessible autrement que depuis la machine locale.

S'il y a des choses à sécuriser c'est sur les services ouverts sur l'extérieur qu'il faut se concentrer (Apache, SSH, etc.), et aussi bien sûr sur les scripts PHP qui ont accès au serveur MySQL…

Je comprends. Je te remercie pour tes réponses.

nestapuccino

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

J'ai cependant une autre question, si tu as le temps d'y répondre.
Dans le cahier des charges, le client indique ceci :

- Le serveur web devra être implémentée dans une dmz derrière un pare-feu.
- Le serveur de base de données devra être implémenté dans une dmz propre
- Des sondes réseau seront mises en place afin de surveiller les différentes branches du
réseau utilisé par l'infrastructure

Etant donné que apache+php+mysql sera installé sur une machine dédiée OVH, cela signifique que pour répondre au CDC, je dois mettre en place des sous reseaux avec machines virtuelles afin de réaliser ces "dmz" ou cela n'est pas nécessaire et je peux me contenter d'une installation traditionnelle si la machine est a usage exclusif de ce client ?

bruno

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

J'avoue ne toujours pas comprendre…
Ce que décrit ton cahier des charges, pour ce que j'en comprends, est une infrastructure réseau complexe avec plusieurs serveurs, plusieurs réseaux, pare-feu, des sondes réseaux (et donc probablement une application de surveillance et/ou de détection d'intrusions).
Cela ne correspond pas du tout à l'utilisation d'un simple serveur dédié chez un prestataire. Soit tu n'as pas compris les besoins du client, soit le client a des exigences techniques aberrantes (de mon point de vue). Dans un cas comme dans l'autre il faut voir cela avec lui.

nestapuccino

Re : Comment placer serveur mysql dans DMZ privée ou derrière pare feu

A vrai dire, je suis seulement chargé de mettre en place la machine et les serveurs, mais je n'ai pas compris effectivement les besoins du clients qui me paraissent ne pas correspondre à ce qui est réellement nécessaire. D'où mes questions bêtes et vraiment ouvertes.
Tes réponses sont claires et me confortent dans l'idée de devoir remettre en cause ces spécifications. Mes supérieurs vont devoir voir ça plus clairement avec le client.
Je te remercie encore!