Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1087 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Reflexion KVM >Lan > DMZ

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Reflexion KVM >Lan > DMZ

n°1380569
mediator3
Posté le 03-09-2015 à 11:36:34  profilanswer
 

Bonjour à tous,

 

Je viens récupérer vos connaissances ou un "conseil" des barbus...enfin ceux du culte nu(i)x.

 

Pour commencer, la petite histoire (je ne suis pas celui qui à mis en place le serveur, je récupère le BB).

 

Je viens de récupérer la gestion d'un serveur qui tourne sous Unbuntu 10.*** (donc plus de patchs depuis 2013  :o ) avec KVM dessus et 2 vm's.

 

Le serveur en question est dans une DMZ, quand je parle du serveur, je parle du KVM et des 2 VM's.

 

Le firewall est en open bar  :o mais y'a quand même fail2ban et rkhunter.

 

Le serveur à X11 d'installer, des softs comme libre office mais pas que et une tonne de protocole.

 

Niveau attaque...bah c'est la fête du slip et le KVM prend beaucoup (il est en front aussi)

 

Ah oui...le 22 est visible de l’extérieur ...tant qu'a faire...

 

Je précise que je n'ai pas la gestion du réseau (campus  de recherche scientifique publique).

 

Donc chaque demande RX doit se faire selon un protocole bien précis (DHCP par adresse Mac).

 

J'en viens à ma question.

 

Je ne peux pas laisser ce truc en l’état (je parle du serveur).

 

Je pensais à deux options.

 

La première, la plus simple à mettre en place, un serveur = une machine physique et carte réseau, vlan et basta (enfin avec firewall ect).

 

L’avantage, isolation physique et logique du serveur de mon Lan.
Le souci, gestion et achat d'une machine physique.

 

L'autre solution, utiliser un de mes serveurs aussi sous KVM mais qui se trouve dans mon lan et migrer les 2 vm's dessus.
Avantage, bah gestion plus simple pour moi et mise en HA idem.

 

Inconvénient, Je ne veux pas que le KVM se retrouve en front mais si je bridge une interface (eth1 par ex) et que je la rentre dans le Vlan de la DMZ, je reviens a faire  ce que je ne veux pas, mettre en front le KVM.

 

Troisièmement, rediriger le flux des vm's vers la DMZ(lan to DMZ) ... avec une restriction au niveau firewall.

 

Et la vient ma question  :D

 


Une autre idée ou alors une remarque sur mon raisonnement (j'ai pt zappé un truc d’évident  :o ) ?

 


 :jap:

  



Message édité par mediator3 le 03-09-2015 à 11:46:11

---------------
Feedback:http://forum.hardware.fr/hfr/Achat [...] 3232_1.htm
mood
Publicité
Posté le 03-09-2015 à 11:36:34  profilanswer
 

n°1380597
mediator3
Posté le 03-09-2015 à 21:05:20  profilanswer
 
n°1380648
mediator3
Posté le 04-09-2015 à 15:30:07  profilanswer
 

J'inspire pas les foules :sleep:


---------------
Feedback:http://forum.hardware.fr/hfr/Achat [...] 3232_1.htm
n°1380721
mediator3
Posté le 06-09-2015 à 09:44:54  profilanswer
 

:o  
 
Faut se réveiller :sleep:


---------------
Feedback:http://forum.hardware.fr/hfr/Achat [...] 3232_1.htm
n°1380733
roondar
Posté le 06-09-2015 à 13:18:04  profilanswer
 

Perso, mettre à jour cette vieillerie et mis en place d'un firewall sur la machine.

n°1380734
mediator3
Posté le 06-09-2015 à 13:56:19  profilanswer
 

roondar a écrit :

Perso, mettre à jour cette vieillerie et mis en place d'un firewall sur la machine.


 
 
Merci  
 
 
Le souci n'est pas trop le FW (il en faut un  :o ) mais plutôt que le KVM soit en front et s'agissant d'une version ancienne même avec un FW (on réduit les risques avec) c'est pas un gage de sécurité (OS plus mis à jour).
 
Je veux savoir ce que vous feriez,
 
Machine physique en front dans DMZ donc sans kvm.
 
Mise en place d'un OS à jour avec KVM mais dans ce cas comment maximiser la secu ou éviter qu'il soit en front ?
 
Ou migration des vm's dans le Lan et routage de celle ci vers la DMZ ?
 
Je me pose la question car je  vais partir et je ne veux pas laisser au nouvel admin un canard a 3 pattes :whistle:  
 
Je suis en pleine refonte de l'infra et je veux minimiser les coûts et simplifier la gestion un maximum .
 
C'est mon dilemme de la semaine  :lol:  
 


---------------
Feedback:http://forum.hardware.fr/hfr/Achat [...] 3232_1.htm
n°1380735
roondar
Posté le 06-09-2015 à 14:00:51  profilanswer
 

mediator3 a écrit :


 
 
Merci  
 
 
Le souci n'est pas trop le FW (il en faut un  :o ) mais plutôt que le KVM soit en front et s'agissant d'une version ancienne même avec un FW (on réduit les risques avec) c'est pas un gage de sécurité (OS plus mis à jour).
 
Je veux savoir ce que vous feriez,
 
Machine physique en front dans DMZ donc sans kvm.
 
Mise en place d'un OS à jour avec KVM mais dans ce cas comment maximiser la secu ou éviter qu'il soit en front ?
 
Ou migration des vm's dans le Lan et routage de celle ci vers la DMZ ?
 
Je me pose la question car je  vais partir et je ne veux pas laisser au nouvel admin un canard a 3 pattes :whistle:  
 
Je suis en pleine refonte de l'infra et je veux minimiser les coûts et simplifier la gestion un maximum .
 
C'est mon dilemme de la semaine  :lol:  
 


 
Si ton serveur à 2 interfaces réseaux, alors une interface pour le management de l'hyperviseur et une interface bridgée dans la DMZ.
 

n°1380736
mediator3
Posté le 06-09-2015 à 14:23:53  profilanswer
 

roondar a écrit :


 
Si ton serveur à 2 interfaces réseaux, alors une interface pour le management de l'hyperviseur et une interface bridgée dans la DMZ.
 


 
J'y ai pensé mais on n'est assez loin d'une isolation du KVM (ce qui est le cas d'une machine dédier se trouvant dans la DMZ).
 
Je vais voir ce que je peux faire pour maximiser la sécu au niveau de l'interface qui va se trouver dans la DMZ.


---------------
Feedback:http://forum.hardware.fr/hfr/Achat [...] 3232_1.htm
n°1380764
roondar
Posté le 07-09-2015 à 13:51:14  profilanswer
 

mediator3 a écrit :


 
J'y ai pensé mais on n'est assez loin d'une isolation du KVM (ce qui est le cas d'une machine dédier se trouvant dans la DMZ).
 
Je vais voir ce que je peux faire pour maximiser la sécu au niveau de l'interface qui va se trouver dans la DMZ.


 
Pourquoi mettre le KVM dans la DMZ ?

n°1380767
mediator3
Posté le 07-09-2015 à 14:24:29  profilanswer
 

roondar a écrit :


 
Pourquoi mettre le KVM dans la DMZ ?


 
 
Très bonne question, je n'en sais rien.
Je ne suis pas celui qui à mis en place le serveur  :o  
j'en hérite, je dois donc faire avec le temps de mettre en place une nouvelle solution.  
 
Je viens de modifier le FW en conséquence.
 
 


---------------
Feedback:http://forum.hardware.fr/hfr/Achat [...] 3232_1.htm

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Reflexion KVM >Lan > DMZ

 

Sujets relatifs
[Topic Unique] VGA/PCI Passthrough et VFIO sous GNU/LinuxRéflexion passage à ubuntu
Labo pour HA via KVMIPtables et deux interfaces LAN
Gérer un serveur KVM/QEMU sous windows?Une pauvre LAN via VMware fusion
Réseaux Lan Debian/Windows avec un hubOpenVPN: Lan accessible mais Internet pas accessible
Switch virtuel pour Xen/KVM - Interface tap - Cisco/Autre ?[Résolu] Détecter une nouvelle adresse Mac sur un réseau LAN
Plus de sujets relatifs à : Reflexion KVM >Lan > DMZ


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR