ESXi en DMZ, risque ?

Avatar de l’utilisateur
dsebire
Messages : 13182
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

ESXi en DMZ, risque ?

Message par dsebire »

bonjour,

pour ceux qui ont deja testé, y a-t-il un risque a mettre un esxi en frontal en DMZ ?
j'entends par la sans firewall directement relié au net quoi !

les VM a l'interieur seront protégées, la n'est pas le problème.

ma question porte donc sur le risque de me faire hacker l'hyperviseur

Merci !
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

ESXi en DMZ, risque ?

Message par kalistyan »

Salut,

Concernant le host, y a pas grand chose sur le net... :/

Au niveau des risques, dans l'ensemble même problème que pour une VM... non ?

Bon ma réponse n'apporte pas grand chose (voir rien :whistle:) mais suis pas un expert :ange:
gizmo78
Messages : 20560
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par gizmo78 »

dans l'hyperviseur sur le serveur, tu peux pas restreindre son accès pour une seule adresse Ip?
Avatar de l’utilisateur
dsebire
Messages : 13182
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

ESXi en DMZ, risque ?

Message par dsebire »

@kali => en effet ça m'aide beaucoup :D
@gizmo => je sais pas. here is the question !

a mon avis, ya pas grand chose qui est "ouvert" sur l'hyperviseur
ya quelques ports comme le 443 mais c'est a peu près tout

ya pas de backdoor ?

bien sur je mettrais un mot de passe correct pour connecter le client de l'hyperviseur, mais ça me rassure pas quand meme
gizmo78
Messages : 20560
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par gizmo78 »

pour connecter un client? VPN?

je pense que t'y a déjà pensé mais on sait jamais :D

je vais aller jeter un coup d'oeil sur l'esxi que j'ai au taff et je te dis ca ;)
Avatar de l’utilisateur
dsebire
Messages : 13182
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

ESXi en DMZ, risque ?

Message par dsebire »

pour preciser la demande, je prevois de mettre un esxi en direct sur le net, avec:
une VM type pfsense qui servira de routeur/firewall/client-serveur VPN
un DC secondaire windows (sur le lan virtuel)
un filer type openfiler ou freenas (sur le lan virtuel)

il n'y aura aucune ouverture du WEB vers le lan virtuel, tout passera par le VPN (sauf pt'etre le RDP pour une raison de confort mais qui sera bloqué une fois l'installation terminée)

donc niveau secu des VM ça devrait aller (pfsense bloque tout par defaut, ce qui me va assez bien :D)

me reste donc la question de la securité de l'hyperviseur
voila ;)
Avatar de l’utilisateur
dsebire
Messages : 13182
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

ESXi en DMZ, risque ?

Message par dsebire »

pour connecter un client? VPN?
je parlais du vsphere client de l'esx pour le management des VM (me connecter au host quoi)
gizmo78
Messages : 20560
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par gizmo78 »

j'ai regardé sur l'esxi: l'adresse ip que tu attribue c'est celle pour manager le serveur et donc pour se connecter avec vsphere, si tu mets celle de ton lan et donc pas celle qui ira sur le net normalement pas de problème sauf backdoor/failles
Avatar de l’utilisateur
dsebire
Messages : 13182
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

ESXi en DMZ, risque ?

Message par dsebire »

??? pas compris.
l'@IP du host sera forcement l'IP publique non ?
sinon comment je ferais pour ne serait-ce que pour me connecter le temps d'installer le reste ???
gizmo78
Messages : 20560
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par gizmo78 »

bas ton esx serait sur un lan nan? car si tu mets l'adresse ip publique sur le serveur direct ouais c'est clair ca pue du cul niveau sécu :D
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

ESXi en DMZ, risque ?

Message par kalistyan »

Sur le WAN a dit le Mr. :d
Avatar de l’utilisateur
dsebire
Messages : 13182
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

ESXi en DMZ, risque ?

Message par dsebire »

l'ESX sera sur le WEB en direct (hebergé chez OVH sur serveur dédié)
voila, vous savez tout
gizmo78
Messages : 20560
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par gizmo78 »

nan mais j'avais pigé qu'il aurait accès au web :D

je pensais juste qu'il serait sur un lan mais si il est chez ovh ca change tout :D

à part mettre un méga pwd je vois pas :/

mais je pense que niveau sécu ca craint un poil de cul de mammouth quand même :D
Avatar de l’utilisateur
dsebire
Messages : 13182
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

ESXi en DMZ, risque ?

Message par dsebire »

mais je pense que niveau sécu ca craint un poil de cul de mammouth quand même :D
tiens, je me souviens plus pourquoi j'ai ouvert ce topic :D

je pense qu'ils ont fait les choses bien, OVH le propose donc c'est que ça doit etre assez fiable, c'est pas comme un windows ou un linix ou tu peux mettre un firewall soft, la c'est figé tu peux rien y changer donc si c'est une passoire, ça se serait deja su.
gizmo78
Messages : 20560
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par gizmo78 »

je pense aussi ^^

après si t'es un peu parano je pense que tu peux t'inquiéter mais si tu mets un passwd qui tabasse y a pas de raison
Avatar de l’utilisateur
dsebire
Messages : 13182
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

ESXi en DMZ, risque ?

Message par dsebire »

ce qui m'inquiete c'est pas le password, c'est plutot les failles ou backdoor ;)
gizmo78
Messages : 20560
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par gizmo78 »

j'ai bien compris ;)

après si t'as la dernière version faut voir si elle comporte des risques mais en même temps t'as d'autres choix? c'est une vrai question hein ^^
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

ESXi en DMZ, risque ?

Message par kalistyan »

Faudrait poser la question au support OVH...
Avatar de l’utilisateur
dsebire
Messages : 13182
Inscription : ven. 12 janv. 2018 17:44
Localisation : Loiret - entre la ville et les champs

ESXi en DMZ, risque ?

Message par dsebire »

@gizmo=> autre choix, oui, n'importe quel hyperviseur, mais je connais que esx. je sais pas si OVH en propose d'autres.
@kali => tu crois vraiment que OVH va me dire que leur truc est foireux et pisse comme une passoire ?
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

ESXi en DMZ, risque ?

Message par kalistyan »

Faut tourner la question différement...

Genre, n'y aurait il pas une erreur sur la possibilité de mettre un host ESXi en DMZ...
gizmo78
Messages : 20560
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par gizmo78 »

bas t'as proxmox aussi, poulpito l'utilise depuis un moment et moi aussi
asriel
Messages : 346
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par asriel »

bouaaah ! mettre un hyperviseur en frontal sur le net pourquoi pas :)
mais sans firewall.... ça craint :sweat: surtout si un petit malin arrive à rentrer, et peut du coup prendre le contrôle de tes VM :/

maintenant, j'ai jamais utilisé esXi, je ne sais pas si on peut facilement ou non bricoler le systeme host, rajouter des modules dessus etc...

au passage, l'idée d'avoir une VM comme routeur/firewall principal est pas terrible car si y'a un problème sur la VM, le reste n'aura plus acces au net. c'est un élément supplémentaire de non-stabilité

sinon, tu t'installes une debian avec un hyperviseur xen, et tu te fais un firewall sous iptables directement sur le dom0 ;)
Avatar de l’utilisateur
poulpito
Messages : 12402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

ESXi en DMZ, risque ?

Message par poulpito »

Go voir le module de fridu qui permet de manager simplement iptables :)
c'est ce que j'utilise sur mon proxmox
Avatar de l’utilisateur
tugs
Messages : 3188
Inscription : ven. 12 janv. 2018 17:44

ESXi en DMZ, risque ?

Message par tugs »

Hey , j'avais pas vu ce topic :)

Nous avons menés une étude pour une banque française (dont je ne peux pas citer le nom bien sur) y'a quelques semaines.

En conclusion, l'isolation des processus ainsi que les certifications obtenus par VMWare dans le cadre du cloisonnement, permettent de partager un hôte ESX 4.x (pas 3) inter-DMZ mais également DMZ/Lan-neutre/Lan-prod , à la seule condition que l'interface vmkernel soit séparées physiquement (adaptateur physique), de ou des interfaces servant à accéder aux VMs.

(et que l'adaptateur physique qui héberge le vmkernel ou la vmconsole soit protégés par le firewall ESX ou mieux , bien sur)
[*]I am retrogamer :geek:
Avatar de l’utilisateur
poulpito
Messages : 12402
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

ESXi en DMZ, risque ?

Message par poulpito »

merci pour l'info tugs :)
Répondre