Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1469 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Services accessibles depuis DMZ

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Services accessibles depuis DMZ

n°99302
remi_
Posté le 31-07-2012 à 15:21:40  profilanswer
 

Bonjour,
 
sur une infra réseau classique, nous avons des serveurs dans un sous-réseau physique dédié, et d'autres serveurs en DMZ pour qu'ils soient accessibles depuis l'extérieur.
Sur ces serveurs en DMZ, nous avons une authentification LDAP. Aujourd'hui le service LDAP se trouve aussi en DMZ. Je me pose la question de savoir si ce service doit être situé en DMZ ou pas.
 
Plus précisemment, la DMZ est un sous-réseau privé derrière un routeur/firewall, avec du nat & redirection de port. Seuls certains ports sont ouverts en entrée.
 
Question pratique / sécurité donc. Quel est la meilleure solution:
- laisser le service LDAP en DMZ, mais du coup toute ma base est en DMZ, et donc si un serveur est corrompu on peut "facilement" accéder au service ldap.
- mettre le service LDAP dans le sous-réseau des serveurs internes, et donc créer une règle de firewall depuis la DMZ vers le sous-réseau serveurs.
 
Et chez vous, comment faites vous ?
 
Merci !  :hello:  

mood
Publicité
Posté le 31-07-2012 à 15:21:40  profilanswer
 

n°99344
ChaTTon2
Je l'aime !
Posté le 01-08-2012 à 14:44:48  profilanswer
 

Pas le plus grand spécialiste mais pour moi le LDAP en DMZ c'est juste inconcevable.
 
Perso, je mettrais l'annuaire dans le réseau privé, et en DMZ je monterais un RODC (Read OnlyDC) avec seulement les comptes que j'utilise.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm
n°99351
pkc
Posté le 01-08-2012 à 18:26:10  profilanswer
 

tu peux aussi créer une DMZ dédiée pour ton LDAP, ce qui limite les possibilités de rebond entre les serveurs en DMZ et le LDAP.

n°99360
remi_
Posté le 02-08-2012 à 09:15:42  profilanswer
 

Salut,
 
je pense mettre mon LDAP dans le meme réseau que mes serveurs privés, et monter un 2eme LDAP en RO synchronisé avec le 1er, seulement avec les infos nécessaires aux serveurs de la DMZ.

n°99366
ChaTTon2
Je l'aime !
Posté le 02-08-2012 à 11:12:27  profilanswer
 

le RODC c'est très documenté et très rapide à mettre en place.
 
Good Luck.


---------------
Mon feed-back : http://forum.hardware.fr/hfr/Achat [...] 1974_1.htm

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Services accessibles depuis DMZ

 

Sujets relatifs
[2008R2]Donner accès à certains services et processus à un utilisateurDMZ sur netasq U120
Exchange du Lan vers ==> DMZProblème Zone DMZ
Reverse Proxy en DMZ[Résolu]Netasq "Given username is reserved"
Accès AD depuis DMZconfig firewall pour ajout dans le domaine depuis une DMZ
[?] Combien dois-je facturer pour les services suivants... 
Plus de sujets relatifs à : Services accessibles depuis DMZ


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR