neos92
bonjour,
j'ai mis en place mon serveur (nas) séparé de mon reseau interne via le dmz et donc je peut y acceder depuis l'exterieur.
Le prb est que je le vois encore dans mon réseau interne et que je peut y acceder en ssh avec une ip interne (192.168.x.x) donc il n'est pas tout a fait séparé de mon reseau interne
Cela presente t'il une faille potentielle de sécurité dans le réseau ?
Shamayo
Si tu compare les adresses IP du serveur et de ton PC, tu pourra sans doute voir que l'adresse réseau est différente (le troisième octet sera sans doute différent). Si c'est le cas, ton serveur est bien dans une DMZ et ta box doit router pour faire le lien entre les deux réseaux.
neos92
Je viens de vérifier et le troisième octet n'est pas different :/
Le principe du dmz n'est t'il pas justement de faire une séparation total entre le dmz et le réseau local ?
Si le nas se fait hacker sela veut donc dire que il (le hacker) peut communicer avec le réseau interne ?
Shamayo
Si justement. La DMZ sépare ton réseau local de ton serveur. Cela permet d'appliquer certaines règles sur le pare feu ou de rediriger certains ports vers ton serveur. Pour autant les ports ne seront pas redirigés vers ton LAN. Il y a donc une séparation entre les deux.
Si ton serveur est piraté, ton réseau local n'est pas touché.
Mais s'il n'y a pas de règles de pare feu entre ton LAN et ta DMZ, la sécurité n'est pas optimale.
Tu peux en apprendre plus en lisant quelques articles ou tuto sur les adresses IP.
neos92
pk les paquet peuvent circuler du réseau interne au dmz
et ne peuvent pas circuler du dmz vers le réseau interne ?
"règles de pare feu entre ton LAN et ta DMZ" A quoi pense tu par exemple ?
Shamayo
Je ne sais pas comment c'est configurer de base sur les boxs.
Si tu peux envoyer des paquets du LAN vers la DMZ, c'est tout simplement pour envoyer des requêtes (requêtes http, DNS, ssh...).
Par contre l'inverse n'est pas possible pour éviter que si ton serveur est infecté, le LAN soit vulnérable.
Je pensais aux règles qui bloquent les requêtes de la DMZ vers le LAN, comme SSH. Admettons qu'un cracker ait accès a ton serveur, il lui sera impossible de se connecter à ton PC via SSH grâce au pare feu. Mais d'après ce que tu me dis, par défaut, tout est bloqué.
jamesbad000
Bonsoir.
En règle général ce que les routeurs "pour la maison" appellent DMZ est simplement UNE adresse vers laquelle sont routées toutes les requêtes venant de l'internet. Mais la machine en question est bien sur le même réseau local, et il n'est pas possible d'empêcher une machine du réseau local de voir et donc de communiquer avec les autres machines du réseau.
Et donc, comme dit plus haut, si les 3 premiers octets des adresses sont identiques sur toutes les machines, et bien elle sont sur le même réseau.
Pour avoir une vrai DMZ, il faut que le routeur ait 2 cartes réseaux local. Ainsi depuis une machine situé dans la DMZ on ne voit pas directement les machines situées dans l'autre réseau local. Il faut repasser par le routeur, et à ce niveau on peut bloquer !
Edit : Dans ton cas, tu devrais éviter d'utiliser le paramétrage en DMZ qui expose tous les port de la machine, et simplement paramétrer un NAT avec le ou les ports qui doivent être accessible depuis l'extérieur. Ca évite de se faire attaquer sur un service démarré par erreur ou méconnaissance...
Shamayo
Je plussoie, comme je l'ai dit, je ne sais pas comment se comporte une DMZ sur les machins-box.
Je pense qu'il est suffisant pour un serveur/réseau personnel de mettre en place des redirections de ports au niveau réseau et de sécuriser la ou les machines en plus (sécurisation ssh, fail2ban,etc...).
neos92
ok donc finalement j'ai utilisé la redirection de ports;
merci pour la réponse
