StrongSwan: Interconnecté sécuritairement
Si des serveurs doivent se communiquer...
Il pourrait se produire de temps en temps qu'un seul serveur n'est pas assez ou
voulez faire un pari sur la redondance lordque votre serveur Web débraie – ou
simplement pour distribuer les devoirs qui sont produits dans un réseau entre
plusieurs serveurs pour qu'il ne fût pas un seul desquels qui doit prendre tout
en charge. Il y a plein de causes pourquoi des serveurs doivent se connecter.
Mais toutes scénarios ont une chose en commun: On a besoin d'une interconnexion
réseau entre les serveurs affectés.
Ce n'est aucun problème seulement lorsque vous pouvez interconnecter les
serveurs à travers un réseau indépendant de l'Internet si bien qu'il ne faut
pas que le train de données sorte la zone dans laquelle les serveurs sont
situés. Vous pouvez vous simplifier la vie par établir un additionnel réseau
auquel les serveurs ont d'accès dans ce cas.
Lorsqu'un réseau local n'est pas disponible...
Malheureusement il y a assez de scénarios que rendent ceci impossible. Qu'en est-il des ordinateurs sans connexion à un réseau local, ou où en est des ordinateurs qui sont situés dans des différents centres de calcul que ne sont pas nécessairement interconnectés physiquement? Dans ces cas force est d'établir une connexion à travers l'Internet dans laquelle les individuels serveurs peuvent se communiquer.
Mais il est nécessaire dans ce cas que vous ne laissez pas la connexion sans
protection, parce qu'il faut deviner qui fait quels chichis, et pour l'assurer,
IPsec s'impose carrément.
Comme déjà concrétisé dans le dernier chapitre,
IPsec empêche suivre et manipuler le train de données ainsi bien qu'on obtient
une connexion réseau qu'on peut comparer à un réseau au fil privé: Les
transmissions restent confidentielles, et on peut assurément dénommer ce qui
est perçu par des personnes extérieures semble une séquence de caractères au
hasard.
Par cette voie vos serveurs peuvent se communiquer sans danger; Il faut que
vous vous souciez de ne pas attraper des pourris, mais ça n'est aucun problème
si vous faites attention à quelles permissions vous donnez à qui.
Fermer le trou
Pour ponter l'espace entre les serveurs, veuillez configurer StrongSwan de part
et d'autre et l'ordonner connecter à l'autre ordinateur respectivement. Il n'y
est pas nécessaire que la connexion reste ouvert toujours. Il est seulement
mécessaire de l'ouvrir en cas de besoin s'il faut échanger des données entre
les serveurs, mais on y peut ordonner StrongSwan aussi.
Le moment où la connexion est établie avec succès, vous pouvez débloquer tout
qu'est nécessaire pour la communication entre les serveurs. Il pourrait par
exemple être un NFS pour augmenter l'espace du disque dur disponible sur un
serveur. On y pourrait p. ex. installer un serveur Web central qui gère
plusieurs domaines dont sous-répertoires vous pouvez distribuer entre des
autres serveurs. Ou vous distribuez certains parties de votre projet Web entre
plusieurs serveurs, p. ex. divisé en thèmes.
Il est aussi possible de délocaliser l'authentification contre un serveur
RADIUS sur un autre ordinateur même si une éventuelle base de données MySQL ou
votre serveur NIS ou LDAP. Il n'y a aucunes limites assignées à vous.
Vous pouvez configurer au même titre un des serveurs à une façon qu'il collecte et enregistre des sauvegardes – et les reconstituer automatiquement en cas de besoin, p. ex. après un des serveurs a tombé en panne et il faut maintenant l'installer complètement. Dans ce cas vous avez seulement besoin d'établir la connexion au serveur de secours et il va se soucier du reste.
en hautL'accès au réseau domestique
Vous pouvez aussi établir d'accès à votre réseau domestique. Vous y avez besoin
d'un petit serveur sur lequel vous pouvez configurer IPsec (des serveurs
virtuels y ne sont pas bon, parce que vous ne pouvez pas y configurer IPsec
lorsque le serveur est mal configuré – veuillez demander votre hébergeur dans
ce cas) et il faut laisser votre passerelle IPsec chez vous mis en circuit.
Vous accédez à votre réseau domestique indirectement en passant d'un tunnel
IPsec, et comme votre passerelle IPsec a reçu une adresse IP virtuelle dans le
tunnel, vous n'avez pas besoin de savoir l'adresse IP publique de la
passerelle, mais vous pouvez au lieu de cela utiliser son adresse IP interne –
et lorsque vous avez configuré tout correctement, vous pouvez aussi accéder au
réseau là-derrière même si vous vous trouvez dans votre réseau local
domestique.
Le seul aspect que vous devez garantir est qu'aucun étranger ne peut
s'infiltrer dans votre réseau local domestique via votre serveur comme détour –
mais il n'y a aucun problème avec la bonne protection.