> Ok, vu pour les soucis en perspective :o(
Ben, tu cherches les coups aussi... :)
> Mon beauf m'a parle de ca. Comment ca marche, exactement ? Comment
> configure-t-on cette machine ? Sur le routeur, j'ai vu qu'on peut
> parametrer ca...
Pour une DMZ, il faut une machine (appelons-la "FWL"), peu
puissante, qui a 3 cartes réseaux :
- Une relié à ton routeur
- Une relié à ton serveur IMAP
- Une relié à ton réseau local :
+---------+
| Routeur |
+---------+
|
|eth0
+---------+eth2 +---------+
| FWL |--------| IMAP |
+---------+ +---------+
|eth1
|
LAN
Au niveau de FWL, on va écrire des règle iptables, du type "si
j'ai un paquet entrant par eth0 et à destination du port 143 (imap), alors
je le redirige sur eth2, à destination du serveur IMAP". Ainsi, le serveur
IMAP ne reçoit que ce qui le concerne.
Mais le plus intéressant, c'est le trafic IMAP -> reste du monde.
Grâce à Netfilter et au suivi de connexion (conntrack), seul les réponses
au requêtes externes peuvent être autorisées à passer à travers FWL, et à
sortir sur Internet. Ainsi, si un intrus arrive à être root sur IMAP, il
ne pourra rien faire du tout. Même lancer une attaque sur le LAN, ou sur
FWL.
Cependant, tu peux noter qu'une telle architecture n'est pas très
adaptée à ta configuration. En effet, la fonction de routage de ton
routeur est rendu inutile par FWL, qui se charge de faire suivre les
paquets de eth0 à eth1. Aussi, cette seconde architecture est plus adaptée
:
+---------+
| Routeur |
+---------+
|
| eth0
| +---------+ +---------+
|--| FWL |--------| IMAP |
| +---------+ +---------+
| eth1
|
LAN
Dans ce cas là, FWL ne sert plus de routeur entre ton LAN et le
reste du monde. Par contre, elle protège toujours efficacement IMAP, ou
plus exactement, elle interdit strictement à IMAP de se connecter toute
seul à Internet ou au LAN.
A noter que dans ce cas là, le LAN n'est pas protégé par FWL.
C'est donc au routeur, situé en tête du réseau, d'assurer la protection
complète du LAN (comme c'est le cas actuellement)... On ne peut donc plus
vraiment parlé de DMZ.
J'en profite pour répond au mail de François Pacull :
> Attention toutefois en DMZ la machine est encore + vulnérable car non
> protégé par le routeur.
François veut parler je pense d'une configuration plus classique de DMZ
:
INTERNET
|
|eth0
+---------+eth2 +---------+
| FWL |--------| IMAP |
+---------+ +---------+
|eth1
|
LAN
Là, c'est effectivement FWL qui est en prise directe avec
Internet. A lui donc d'assurer la protection du réseau, et à faire le NAT
pour le LAN, et le port forwarding pour le serveur IMAP. Mais encore une
fois, avec des bonnes règles de conntrack, et des ports bien fermés, il
n'y a pas de raison que FWL se fasse pirater.
> Une DMZ c'est overkill comme feature.
Pour écraser une mouche, pourquoi se contenter d'une simple baffe
? Alors qu'une bonne enclume peut tout aussi bien servir !!! ;)
> Mais une machine en DMZ est-elle accessible depuis mon réseau local ?
Oui : Avec Netfilter/iptables, tu peux autoriser les connexions
que tu désires entre ton LAN et IMAP. Il suffit d'écrire les bonnes
règles. Tu peux même n'autoriser que une seule machine du LAN pour faire
du ssh sur IMAP. Et autoriser toutes les machines du LAN pour accéder au
serveur IMAP sur la machine IMAP.
Pour mettre en oeuvre ces différentes techniques, il faut bien
comprendre les techniques de port forwarding et d'ip masquerading. J'en ai
parlé dans la documentation de ma conférence :
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.html
Olivier
