Pages : 1
#1 Le 06/12/2013, à 22:59
- neos92
[Résolu] serveur en dmz visible depuis le reseau interne
bonjour,
j'ai mis en place mon serveur (nas) séparé de mon reseau interne via le dmz et donc je peut y acceder depuis l'exterieur.
Le prb est que je le vois encore dans mon réseau interne et que je peut y acceder en ssh avec une ip interne (192.168.x.x) donc il n'est pas tout a fait séparé de mon reseau interne
Cela presente t'il une faille potentielle de sécurité dans le réseau ?
Dernière modification par neos92 (Le 08/12/2013, à 17:37)
La connaissance est une énergie qui se multiplie lorsqu'on la partage.
Hors ligne
#2 Le 06/12/2013, à 23:04
- Shamayo
Re : [Résolu] serveur en dmz visible depuis le reseau interne
Si tu compare les adresses IP du serveur et de ton PC, tu pourra sans doute voir que l'adresse réseau est différente (le troisième octet sera sans doute différent). Si c'est le cas, ton serveur est bien dans une DMZ et ta box doit router pour faire le lien entre les deux réseaux.
Un problème réseau ? --> traceroute localhost
Hors ligne
#3 Le 06/12/2013, à 23:08
- neos92
Re : [Résolu] serveur en dmz visible depuis le reseau interne
Je viens de vérifier et le troisième octet n'est pas different
Le principe du dmz n'est t'il pas justement de faire une séparation total entre le dmz et le réseau local ?
Si le nas se fait hacker sela veut donc dire que il (le hacker) peut communicer avec le réseau interne ?
Dernière modification par neos92 (Le 06/12/2013, à 23:14)
La connaissance est une énergie qui se multiplie lorsqu'on la partage.
Hors ligne
#4 Le 06/12/2013, à 23:17
- Shamayo
Re : [Résolu] serveur en dmz visible depuis le reseau interne
Si justement. La DMZ sépare ton réseau local de ton serveur. Cela permet d'appliquer certaines règles sur le pare feu ou de rediriger certains ports vers ton serveur. Pour autant les ports ne seront pas redirigés vers ton LAN. Il y a donc une séparation entre les deux.
Si ton serveur est piraté, ton réseau local n'est pas touché.
Mais s'il n'y a pas de règles de pare feu entre ton LAN et ta DMZ, la sécurité n'est pas optimale.
Tu peux en apprendre plus en lisant quelques articles ou tuto sur les adresses IP.
Un problème réseau ? --> traceroute localhost
Hors ligne
#5 Le 06/12/2013, à 23:22
- neos92
Re : [Résolu] serveur en dmz visible depuis le reseau interne
pk les paquet peuvent circuler du réseau interne au dmz
et ne peuvent pas circuler du dmz vers le réseau interne ?
"règles de pare feu entre ton LAN et ta DMZ" A quoi pense tu par exemple ?
La connaissance est une énergie qui se multiplie lorsqu'on la partage.
Hors ligne
#6 Le 06/12/2013, à 23:29
- Shamayo
Re : [Résolu] serveur en dmz visible depuis le reseau interne
Je ne sais pas comment c'est configurer de base sur les boxs.
Si tu peux envoyer des paquets du LAN vers la DMZ, c'est tout simplement pour envoyer des requêtes (requêtes http, DNS, ssh...).
Par contre l'inverse n'est pas possible pour éviter que si ton serveur est infecté, le LAN soit vulnérable.
Je pensais aux règles qui bloquent les requêtes de la DMZ vers le LAN, comme SSH. Admettons qu'un cracker ait accès a ton serveur, il lui sera impossible de se connecter à ton PC via SSH grâce au pare feu. Mais d'après ce que tu me dis, par défaut, tout est bloqué.
Dernière modification par Shamayo (Le 06/12/2013, à 23:37)
Un problème réseau ? --> traceroute localhost
Hors ligne
#7 Le 07/12/2013, à 00:11
- jamesbad000
Re : [Résolu] serveur en dmz visible depuis le reseau interne
Bonsoir.
En règle général ce que les routeurs "pour la maison" appellent DMZ est simplement UNE adresse vers laquelle sont routées toutes les requêtes venant de l'internet. Mais la machine en question est bien sur le même réseau local, et il n'est pas possible d'empêcher une machine du réseau local de voir et donc de communiquer avec les autres machines du réseau.
Et donc, comme dit plus haut, si les 3 premiers octets des adresses sont identiques sur toutes les machines, et bien elle sont sur le même réseau.
Pour avoir une vrai DMZ, il faut que le routeur ait 2 cartes réseaux local. Ainsi depuis une machine situé dans la DMZ on ne voit pas directement les machines situées dans l'autre réseau local. Il faut repasser par le routeur, et à ce niveau on peut bloquer !
Edit : Dans ton cas, tu devrais éviter d'utiliser le paramétrage en DMZ qui expose tous les port de la machine, et simplement paramétrer un NAT avec le ou les ports qui doivent être accessible depuis l'extérieur. Ca évite de se faire attaquer sur un service démarré par erreur ou méconnaissance...
Dernière modification par jamesbad000 (Le 07/12/2013, à 00:18)
L'espace et le temps sont les modes par lesquels nous pensons, et non les conditions dans lesquelles nous vivons. (Signé Albert)
Hors ligne
#8 Le 07/12/2013, à 00:40
- Shamayo
Re : [Résolu] serveur en dmz visible depuis le reseau interne
Je plussoie, comme je l'ai dit, je ne sais pas comment se comporte une DMZ sur les machins-box.
Je pense qu'il est suffisant pour un serveur/réseau personnel de mettre en place des redirections de ports au niveau réseau et de sécuriser la ou les machines en plus (sécurisation ssh, fail2ban,etc...).
Un problème réseau ? --> traceroute localhost
Hors ligne
#9 Le 08/12/2013, à 17:36
- neos92
Re : [Résolu] serveur en dmz visible depuis le reseau interne
ok donc finalement j'ai utilisé la redirection de ports;
merci pour la réponse
La connaissance est une énergie qui se multiplie lorsqu'on la partage.
Hors ligne