server polyvalent – security

Exécuter le server Ubuntu 10.04. Cette boîte est à la fois un server web (apache2) et vpn (openvpn). Voici comment le réseau est actuellement configuré.

router 192.168.1.1 | | LAN | | ubuntu server 192.168.1.2 NAS file serverA 192.168.1.3 NAS file serverB 192.168.1.4 20 workstations 192.168.1.50/70 

Configuration de base, tous les posts de travail ET le server ubuntu sont derrière le pare-feu du routeur. Port 80 pour server Web et 1200 pour server VPN sont transmis du routeur au server ubuntu.

J'ai lu comment il est judicieux de mettre le server Web dans DMZ, donc, s'il est piraté, vous pouvez limiter les dommages collatéraux et isoler votre réseau local de l'attaque. Cependant, comment feriez-vous cela sur un server polyvalent?

Avec plusieurs NIC et 2 routeurs, pourriez-vous faire quelque chose comme ça?

 router 192.168.1.1 | | LAN | |---WAN port----router 192.168.2.1 | | | LAN | | | ubuntu server (apache2 nic) 192.168.2.2 | ubuntu server (vpn nic) 192.168.1.2 NAS file serverA 192.168.1.3 NAS file serverB 192.168.1.4 20 workstations 192.168.1.50/70 

toute suggestion est appréciée!

One Solution collect form web for “server polyvalent – security”

Les designs multiples de routeurs / NIC que vous avez là ne vous feront pas de bien si le même server est dans les deux, et il n'y a aucun type de séparation entre votre système et Apache. Si le server apache est compromis de quelque façon, ils ont access au système lui-même, qui a access au rest du réseau via l'autre NIC.

Vous avez ces deux options:

1) Exécutez apache à l'intérieur d'une machine virtuelle sur le server ubuntu et attachez le réseau de la VM à la DMZ'd NIC uniquement.

2) Exécutez apache sur une machine distincte qui n'est branché sur la DMZ.

  • devise pour aider à charger les servers dans un rack?
  • Pourquoi devrais-je garder l'user root si je ne suis pas censé l'utiliser?
  • Comment diagnostiquer un locking du server Web sur une charge élevée
  • Mon site a été récemment attaqué. Que fais-je?
  • Utilisation d'un count de groupe de services gérés (gMSA) pour une tâche planifiée
  • Comment sécuriser une implémentation Elastic Search sur Internet dans un environnement d'hébergement partagé?
  • Script pour générer des passwords en bloc / minuscules et nombres
  • Comment effectuer un rsync sécurisé entre les servers sur un réseau non sécurisé
  • Ne laissez pas les ordinateurs de domaine communiquer entre eux
  • Les meilleures pratiques pour partager ou autoriser l'access à trac et svn pour la security des users Internet?
  • Authentification réseau + répertoire d'itinérance - Quelle technologie dois-je envisager d'utiliser?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.