Aller au contenu

DMZ ou NAT pour auto héberger son site web


Messages recommandés

Bonjour,

Je souhaite auto héberger mon site Web sur un PC qui sera dédié, et m'interroge entre 2 facons:

  • Le mettre en DMZ, donc 100% des requetes qui arrivent sur l'IP publique de ma box, arrivent sur le PC
  • Faire un NAT et ouvrir juste le port 80 et 443 pour renvoyer vers le PC

Je me demande quel est le plus sécurisé, et pourquoi.
Si le PC est compromis, dans les 2 cas je veux dire il est sur mon réseau local au milieu des autres PC et avec une IP locale.

Merci pour vos lumières

 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, snowludo a dit :

Je souhaite auto héberger mon site Web sur un PC qui sera dédié, et m'interroge entre 2 facons:

  • Le mettre en DMZ, donc 100% des requetes qui arrivent sur l'IP publique de ma box, arrivent sur le PC
  • Faire un NAT et ouvrir juste le port 80 et 443 pour renvoyer vers le PC

Je me demande quel est le plus sécurisé, et pourquoi.

On préfère d'habitude limiter la "surface d'attaque". En général, cela correspond au nombre de port ouverts sur l'ordi à une connexion distante.

Si tu es en NAT, tu dois t'occuper de sécuriser le logiciel qui gère les ports 80 et 443 (en général, c'est le même). Notamment, l'utilisateur sous lequel fonctionne ce logiciel ne se pas admin complet de l'ordinateur.

Si tu es en DMZ, tu dois t'occuper de sécuriser TOUS les logiciels qui acceptent des connexions distantes (SSH, le partage Windows, le FTP, que sais-je... il faut tout lister). Bien sûr, tu peux avoir un firewall intégré, mais tu dois effectivement TOUT gérer...

  • Aime 1
Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, snowludo a dit :

Mais si l'attaquant arrive à obtenir un accès sur la machine, DMZ ou NAT, le résultat est le même c'est openbar sur mon réseau local non?

Oui dans les 2 cas (DMZ et NAT)

Il y a 15 heures, snowludo a dit :

DMZ c'est quoi dans le fond, juste un NAT avec aucune restriction de port?

A peu près. Le NAT te permet de rediriger les ports, donc il n'y a pas forcément de correspondance entre le port public sur internet et le port sur ton ordi. La DMZ fait tout en 1 pour 1.

Le 25/01/2022 à 09:09, MeowMeow a dit :

Quand même la DMZ c'est le mieux.

Euh? Moi pas d'accord. C'est plus facile, mais certainement pas mieux.

 

Je ne suis pas un expert en DMZ sur les box, mais j'imagine qu'il y a plusieurs implémentations. Tu peux tenter de mettre ton ordi de force dans un autre espace d'adresses (192.168.123.xx), cela limitera l'accès potentiel aux ordis autour si ça fonctionne (aucune idée).

Sinon, tu peux faire un montage "loufoque" en mettant un firewall :

  • tu installes un linux sur ton ordi ou carrément un proxmox ou un hyperviseur
    • Tu y crées un bridge connecté à aucune carte physique
  • tu héberges ton site dans une VM
    • cette VM sera connecté à une carte virtuelle connectée au bridge ci-dessus
  • Tu configures (via ip table par exemple) pour faire en sorte que tout le flux 443/80 soit redirigé de ta carte physique vers ta VM (une gateway sur deux ports seulements quoi)
    • ou alors tu mets un reverse proxy
  • Tu connectes en NAT l'internet public à ta machine linux

Résultat:

  • Le NAT empêche d'accéder à tous les ports de ta machine "physique" et "virtuelle"
  • Même si on détourne ton site, ta VM ne voit pas son hôte ni ses voisins puisqu'elle est dans un autre réseau virtualisé dans ta machine physique
  • Par contre, c'est lourd pour les inter vers ta VM, sauf à faire une route
  • Peut-être qu'au lieu de se taper les iptables, un firewall pourrait être configuré, je ne sais pas.

Ce n'est pas parfait, c'est un peu lourd à mettre en place, mais ça donne quelques avantages.

  • Haha 1
Lien vers le commentaire
Partager sur d’autres sites

Le 26/01/2022 à 11:40, brice.wernet a dit :

Oui dans les 2 cas (DMZ et NAT)

A peu près. Le NAT te permet de rediriger les ports, donc il n'y a pas forcément de correspondance entre le port public sur internet et le port sur ton ordi. La DMZ fait tout en 1 pour 1.

Euh? Moi pas d'accord. C'est plus facile, mais certainement pas mieux.

 

Je ne suis pas un expert en DMZ sur les box, mais j'imagine qu'il y a plusieurs implémentations. Tu peux tenter de mettre ton ordi de force dans un autre espace d'adresses (192.168.123.xx), cela limitera l'accès potentiel aux ordis autour si ça fonctionne (aucune idée).

Sinon, tu peux faire un montage "loufoque" en mettant un firewall :

  • tu installes un linux sur ton ordi ou carrément un proxmox ou un hyperviseur
    • Tu y crées un bridge connecté à aucune carte physique
  • tu héberges ton site dans une VM
    • cette VM sera connecté à une carte virtuelle connectée au bridge ci-dessus
  • Tu configures (via ip table par exemple) pour faire en sorte que tout le flux 443/80 soit redirigé de ta carte physique vers ta VM (une gateway sur deux ports seulements quoi)
    • ou alors tu mets un reverse proxy
  • Tu connectes en NAT l'internet public à ta machine linux

Résultat:

  • Le NAT empêche d'accéder à tous les ports de ta machine "physique" et "virtuelle"
  • Même si on détourne ton site, ta VM ne voit pas son hôte ni ses voisins puisqu'elle est dans un autre réseau virtualisé dans ta machine physique
  • Par contre, c'est lourd pour les inter vers ta VM, sauf à faire une route
  • Peut-être qu'au lieu de se taper les iptables, un firewall pourrait être configuré, je ne sais pas.

Ce n'est pas parfait, c'est un peu lourd à mettre en place, mais ça donne quelques avantages.

Whoa, ça c'est du montage^^

+1 avec toi pour la DMZ, c'est beaucoup trop ouvert et chiant à gérer.

Tu ouvres le port 80 et 443 que tu reroutes sur l'ip de ton site, Apache est réglé de base pour, si tu utilises Apache bien sûr et la joie de ses conf. Perso je galère avec le HTTPS, un peu pénible à mettre en place. C'est le meilleur équilibre prise de tête/sécurité amha.


Je m'autohéberge en test sur un Pi dans cette configuration pour info avec plusieurs autres machine en réseau en parallèle. Le plus risqué c'est ssh ouvert si tu souhaites accéder de l'extérieur et le serveur http mal configuré.

 

Sinon tu suis le tuto de Brice^^

 

Édit : pour la compromission de la machine qui héberge, tout dépend à quoi elle a accès, si elle monte tous les partages avec droits d'écriture et d'exécution, voire accès RDP possible, forcément ça craint. C'est pourquoi ssh accessible en externe est risqué de mon point de vue.

Modifié par Chromosome3
Lien vers le commentaire
Partager sur d’autres sites

sinon serveur web dans docker avec Treafik en load balancer/reverse proxy et c'est bon: tu as le HTTPS de géré automatiquement, et c'est protégé dans un environnement cloisonné. le NAT suffit en IPv4 pour rerouter les paquets des port 80 et 443.

Et si tu es aussi en IPv6, il vaut mieux faire en DMZ, et les mêmes règles IPv6 et IPv4, comme ça, pas de surprise, mais faudra blinder le pare-feu (DENY partout par défaut et on ouvre au cas par cas).

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...