Bonjour,
sur une infra réseau classique, nous avons des serveurs dans un sous-réseau physique dédié, et d'autres serveurs en DMZ pour qu'ils soient accessibles depuis l'extérieur.
Sur ces serveurs en DMZ, nous avons une authentification LDAP. Aujourd'hui le service LDAP se trouve aussi en DMZ. Je me pose la question de savoir si ce service doit être situé en DMZ ou pas.
Plus précisemment, la DMZ est un sous-réseau privé derrière un routeur/firewall, avec du nat & redirection de port. Seuls certains ports sont ouverts en entrée.
Question pratique / sécurité donc. Quel est la meilleure solution:
- laisser le service LDAP en DMZ, mais du coup toute ma base est en DMZ, et donc si un serveur est corrompu on peut "facilement" accéder au service ldap.
- mettre le service LDAP dans le sous-réseau des serveurs internes, et donc créer une règle de firewall depuis la DMZ vers le sous-réseau serveurs.
Et chez vous, comment faites vous ?
Merci !