snowludo Posté(e) le 24 janvier 2022 Partager Posté(e) le 24 janvier 2022 Bonjour, Je souhaite auto héberger mon site Web sur un PC qui sera dédié, et m'interroge entre 2 facons: Le mettre en DMZ, donc 100% des requetes qui arrivent sur l'IP publique de ma box, arrivent sur le PC Faire un NAT et ouvrir juste le port 80 et 443 pour renvoyer vers le PC Je me demande quel est le plus sécurisé, et pourquoi. Si le PC est compromis, dans les 2 cas je veux dire il est sur mon réseau local au milieu des autres PC et avec une IP locale. Merci pour vos lumières Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
brice.wernet Posté(e) le 25 janvier 2022 Partager Posté(e) le 25 janvier 2022 Il y a 1 heure, snowludo a dit : Je souhaite auto héberger mon site Web sur un PC qui sera dédié, et m'interroge entre 2 facons: Le mettre en DMZ, donc 100% des requetes qui arrivent sur l'IP publique de ma box, arrivent sur le PC Faire un NAT et ouvrir juste le port 80 et 443 pour renvoyer vers le PC Je me demande quel est le plus sécurisé, et pourquoi. On préfère d'habitude limiter la "surface d'attaque". En général, cela correspond au nombre de port ouverts sur l'ordi à une connexion distante. Si tu es en NAT, tu dois t'occuper de sécuriser le logiciel qui gère les ports 80 et 443 (en général, c'est le même). Notamment, l'utilisateur sous lequel fonctionne ce logiciel ne se pas admin complet de l'ordinateur. Si tu es en DMZ, tu dois t'occuper de sécuriser TOUS les logiciels qui acceptent des connexions distantes (SSH, le partage Windows, le FTP, que sais-je... il faut tout lister). Bien sûr, tu peux avoir un firewall intégré, mais tu dois effectivement TOUT gérer... 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MeowMeow Posté(e) le 25 janvier 2022 Partager Posté(e) le 25 janvier 2022 Quand même la DMZ c'est le mieux. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
snowludo Posté(e) le 25 janvier 2022 Auteur Partager Posté(e) le 25 janvier 2022 Mais si l'attaquant arrive à obtenir un accès sur la machine, DMZ ou NAT, le résultat est le même c'est openbar sur mon réseau local non? Sauf si DMZ implique une isolation réseau supplémentaire. DMZ c'est quoi dans le fond, juste un NAT avec aucune restriction de port? Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MeowMeow Posté(e) le 26 janvier 2022 Partager Posté(e) le 26 janvier 2022 C'est une zone démilitarisé. C'est à dire que tu peux y accéder en local comme en publique. Le mieux c'est utiliser une ip publique qui n'est pas utiliser par ton réseau local. Faire des vlan pour isoler le réseau. Le mieux est de laisser les hébergeur; héberger ton site. Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
brice.wernet Posté(e) le 26 janvier 2022 Partager Posté(e) le 26 janvier 2022 Il y a 15 heures, snowludo a dit : Mais si l'attaquant arrive à obtenir un accès sur la machine, DMZ ou NAT, le résultat est le même c'est openbar sur mon réseau local non? Oui dans les 2 cas (DMZ et NAT) Il y a 15 heures, snowludo a dit : DMZ c'est quoi dans le fond, juste un NAT avec aucune restriction de port? A peu près. Le NAT te permet de rediriger les ports, donc il n'y a pas forcément de correspondance entre le port public sur internet et le port sur ton ordi. La DMZ fait tout en 1 pour 1. Le 25/01/2022 à 09:09, MeowMeow a dit : Quand même la DMZ c'est le mieux. Euh? Moi pas d'accord. C'est plus facile, mais certainement pas mieux. Je ne suis pas un expert en DMZ sur les box, mais j'imagine qu'il y a plusieurs implémentations. Tu peux tenter de mettre ton ordi de force dans un autre espace d'adresses (192.168.123.xx), cela limitera l'accès potentiel aux ordis autour si ça fonctionne (aucune idée). Sinon, tu peux faire un montage "loufoque" en mettant un firewall : tu installes un linux sur ton ordi ou carrément un proxmox ou un hyperviseur Tu y crées un bridge connecté à aucune carte physique tu héberges ton site dans une VM cette VM sera connecté à une carte virtuelle connectée au bridge ci-dessus Tu configures (via ip table par exemple) pour faire en sorte que tout le flux 443/80 soit redirigé de ta carte physique vers ta VM (une gateway sur deux ports seulements quoi) ou alors tu mets un reverse proxy Tu connectes en NAT l'internet public à ta machine linux Résultat: Le NAT empêche d'accéder à tous les ports de ta machine "physique" et "virtuelle" Même si on détourne ton site, ta VM ne voit pas son hôte ni ses voisins puisqu'elle est dans un autre réseau virtualisé dans ta machine physique Par contre, c'est lourd pour les inter vers ta VM, sauf à faire une route Peut-être qu'au lieu de se taper les iptables, un firewall pourrait être configuré, je ne sais pas. Ce n'est pas parfait, c'est un peu lourd à mettre en place, mais ça donne quelques avantages. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Chromosome3 Posté(e) le 27 janvier 2022 Partager Posté(e) le 27 janvier 2022 (modifié) Le 26/01/2022 à 11:40, brice.wernet a dit : Oui dans les 2 cas (DMZ et NAT) A peu près. Le NAT te permet de rediriger les ports, donc il n'y a pas forcément de correspondance entre le port public sur internet et le port sur ton ordi. La DMZ fait tout en 1 pour 1. Euh? Moi pas d'accord. C'est plus facile, mais certainement pas mieux. Je ne suis pas un expert en DMZ sur les box, mais j'imagine qu'il y a plusieurs implémentations. Tu peux tenter de mettre ton ordi de force dans un autre espace d'adresses (192.168.123.xx), cela limitera l'accès potentiel aux ordis autour si ça fonctionne (aucune idée). Sinon, tu peux faire un montage "loufoque" en mettant un firewall : tu installes un linux sur ton ordi ou carrément un proxmox ou un hyperviseur Tu y crées un bridge connecté à aucune carte physique tu héberges ton site dans une VM cette VM sera connecté à une carte virtuelle connectée au bridge ci-dessus Tu configures (via ip table par exemple) pour faire en sorte que tout le flux 443/80 soit redirigé de ta carte physique vers ta VM (une gateway sur deux ports seulements quoi) ou alors tu mets un reverse proxy Tu connectes en NAT l'internet public à ta machine linux Résultat: Le NAT empêche d'accéder à tous les ports de ta machine "physique" et "virtuelle" Même si on détourne ton site, ta VM ne voit pas son hôte ni ses voisins puisqu'elle est dans un autre réseau virtualisé dans ta machine physique Par contre, c'est lourd pour les inter vers ta VM, sauf à faire une route Peut-être qu'au lieu de se taper les iptables, un firewall pourrait être configuré, je ne sais pas. Ce n'est pas parfait, c'est un peu lourd à mettre en place, mais ça donne quelques avantages. Whoa, ça c'est du montage^^ +1 avec toi pour la DMZ, c'est beaucoup trop ouvert et chiant à gérer. Tu ouvres le port 80 et 443 que tu reroutes sur l'ip de ton site, Apache est réglé de base pour, si tu utilises Apache bien sûr et la joie de ses conf. Perso je galère avec le HTTPS, un peu pénible à mettre en place. C'est le meilleur équilibre prise de tête/sécurité amha. Je m'autohéberge en test sur un Pi dans cette configuration pour info avec plusieurs autres machine en réseau en parallèle. Le plus risqué c'est ssh ouvert si tu souhaites accéder de l'extérieur et le serveur http mal configuré. Sinon tu suis le tuto de Brice^^ Édit : pour la compromission de la machine qui héberge, tout dépend à quoi elle a accès, si elle monte tous les partages avec droits d'écriture et d'exécution, voire accès RDP possible, forcément ça craint. C'est pourquoi ssh accessible en externe est risqué de mon point de vue. Modifié le 27 janvier 2022 par Chromosome3 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Minikea Posté(e) le 28 janvier 2022 Partager Posté(e) le 28 janvier 2022 sinon serveur web dans docker avec Treafik en load balancer/reverse proxy et c'est bon: tu as le HTTPS de géré automatiquement, et c'est protégé dans un environnement cloisonné. le NAT suffit en IPv4 pour rerouter les paquets des port 80 et 443. Et si tu es aussi en IPv6, il vaut mieux faire en DMZ, et les mêmes règles IPv6 et IPv4, comme ça, pas de surprise, mais faudra blinder le pare-feu (DENY partout par défaut et on ouvre au cas par cas). Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.