[Linux-bruxelles] Linksys By Cisco WAG320N et port ssh

Didier MISSON didier.misson at total.com
Mer 19 Mai 18:13:49 CEST 2010


Bonjour,

Mon avis :

- jamais besoin de DMZ dans le cas des petits modems-routeurs, car on n'a jamais besoin d'exposer TOUS les ports et tous les services de son serveur !  
Aldo, tout exposer, ça veut dire tous les ports.
Ça veut dire que tout le trafic entrant va directement sur ce PC en "DMZ"...
Ça veut dire que TOUTES les attaques et scannings arrivent directement sur TON serveur en "DMZ" qui prend tout dans la g...le !

- pour moi, le port forwarding est la bonne solution : tu forwards seulement 1 ou 2 ports (le ssh et le http par exemple) et le reste est bloqué par le firewall (déjà ça que ton serveur ne recevra pas en pleine face)

- ce serait différent avec un vrai firewall hardware avec des interfaces séparées !
Dans ce cas, tu pourrais avoir une interface Ethernet DMZ dans un range IP différent et totalement isolé du range IP de ton LAN...  et le LAN sur une autre interface.
Mais c'est très rarement comme cela sur un modem-routeur low-cost : tu as 4 interfaces, mais c'est juste un HUB : tout ce qui arrive sur une interface est aussi vue sur les 3 autres. Elles ne sont pas isolées...

Je peux me tromper, je ne connais pas tous les modèles de modems-routeurs... 
Mais de toute façon, pas la peine d'ouvrir les vannes en grand ! Si tu as uniquement besoin de SSH, tu fais "port forward" que de SSH !

;-)

Didier




-----Original Message-----
From: linux-bruxelles-bounces at lists.bxlug.be [mailto:linux-bruxelles-bounces at lists.bxlug.be] On Behalf Of Gildas Cotomale
Sent: mercredi 19 mai 2010 18:04
To: Mailing-list du BxLUG
Subject: Re: [Linux-bruxelles] Linksys By Cisco WAG320N et port ssh

> Donc c'est logique que j'aies dû mettre mon ordi pour lequel j'ai ouvert le
> port ssh dans la dmz,
> ça ne signifie pas qu'il soit en danger,
> il est juste plus accessible, es-ce correct ?

Euh... non ; dans le DMZ il est justement "exposé" ; il n'est plus
caché derrière/dans le réseau local...
Le DMZ est justement la sécurité des machines du réseau et exposer un
serveur n'est utile que si d'une part il fournit un service critique
et qu'il vaut mieux ne pas faire autrement (genre un DNS extérieur,
comme un registrar ou un FAI) et que d'autre part il n'a pas de
données critiques (chose qui n'est jamais aussi évidente car même la
collecte de données insignifiantes peut être une aide précieuse pour
un attaquant ou une manne pour tout collecteur de données qui les
recoupera).
Dans l'usage que tu veux en faire, si je comprends bien, un simple
port-fowarding suffit amplement ; pas besoin de te compliquer
l'existence et encore moins de mettre ta machine à découvert pour
pouvoir y accéder pas SSH.
Mais si tu tiens vraiment à l'autre solution, il faut que ce soit
seulement ça (oui, l'un ou l'autre) sinon tu vas avoir droit à un
casse-tête donc le bénéfice en terme de sécurité ne sera pas démontrer
(mais la qualité du service risque par contre d'en pâtir..)

-- 
Gildas plus/moins pragmatique/théorique

-- 
Linux-bruxelles mailing list
Linux-bruxelles at lists.bxlug.be
http://lists.bxlug.be/mailman/listinfo/linux-bruxelles




Plus d'informations sur la liste de diffusion Linux-bruxelles