Toutes les en­tre­prises qui disposent d’un serveur de mes­sa­ge­rie ou d’un hé­ber­ge­ment Web font face au même dilemme : les machines qui four­nis­sent des services Web et de mes­sa­ge­rie son supposées être con­ti­nuel­le­ment en ligne. Pendant ce temps, les salariés qui utilisent le réseau local (en anglais Local Area Network, soit LAN, souvent également appelé intranet en français) doivent disposer d’un accès rapide à leurs res­sources. Cependant, le fait de tra­vail­ler sur le même réseau est peu sécurisé. Les serveurs Web, de mes­sa­ge­rie, DNS ou de proxy qui doivent recourir au réseau public soit à l’Internet général four­nis­sent aux hackers une im­por­tante surface d’attaque. Si ces derniers, aussi appelés bastions, sont di­rec­te­ment liés au réseau local, on court alors le risque qu’un serveur corrompu endommage le réseau entier de l’en­tre­prise. Une solution à ce dilemme est de créer un réseau de périmètre, soit une zone dé­mi­li­ta­ri­sée (notée DMZ pour De­Mi­li­ta­ri­zed Zone) dans laquelle les serveurs en danger sont placés.

Qu’est-ce qu’une zone dé­mi­li­ta­ri­sée ?

On entend par une zone dé­mi­li­ta­ri­sée un réseau d’or­di­na­teur qui sert de zone tampon entre deux réseaux et qui dispose de sa propre adresse IP. Leurs règles d’accès sont clai­re­ment dé­li­mi­tées. Les serveurs qui se trouvent à l’intérieur d’une DMZ sont encore phy­si­que­ment dans l’en­tre­prise mais ne sont pas di­rec­te­ment liés aux machines con­nec­tées au réseau local. La fonction de pro­tec­tion la plus per­for­mante a une ar­chi­tec­ture où la zone dé­mi­li­ta­ri­sée fait écran aux réseaux voisins entre le LAN et Internet via un pare-feu séparé. En revanche, les ar­chi­tec­tures de réseaux, où tout est relié à un seul pare-feu ac­com­pagné de trois terminaux distincts, sont plus avan­ta­geuses. On parle alors d’un DMZ protégé (soit DMZ protected en anglais).

DMZ avec deux pare-feu

Pour prévenir les réseaux d’en­tre­prises contre les accès provenant du réseau public (WAN, Wide Area Network soit le réseau "dispersé"), il convient de mettre en œuvre les concepts de zones dé­mi­li­ta­ri­sées en utilisant deux pare-feu. Il peut s’agir de com­po­sants matériels in­dé­pen­dants ou d’un logiciel pare-feu sur un routeur. Le pare-feu externe protège la zone dé­mi­li­ta­ri­sée du réseau public, le pare-feu interne est quant à lui connecté entre le DMZ et le réseau de l’en­tre­prise.

Image: DMZ avec deux pare-feu
Re­pré­sen­ta­tion sché­ma­tique d’une zone dé­mi­li­ta­ri­sée avec deux pare-feu (Source : https://commons.wikimedia.org/wiki/File%3ADMZ_network_diagram_2_firewall.svg)

Cette ar­chi­tec­ture de sécurité hié­rar­chique permet de con­fi­gu­rer des routeurs statiques dans le but de réguler le trafic de données entre les réseaux comme ci-dessous :

L’in­ter­naute se trouve… Accès à la DMZ Accès au réseau local Accès à Internet
…sur Internet (WAN) autorisée refusé -
…sur le réseau local autorisée - autorisée
…dans la DMZ - refusé refusé

Alors qu’un in­ter­naute venant du réseau local peut avoir accès au serveur dans la DMZ mais également sur le Web, seul l’accès à la zone dé­mi­li­ta­ri­sée n’est pas permis aux uti­li­sa­teurs Internet. Le trafic de données provenant de la DMZ est bloqué par les deux pare-feu.

Il n’est pas conseillé d’utiliser les pare-feu du même cons­truc­teur. En effet, des hackers peuvent détecter des failles de sécurité et ainsi franchir sans problèmes les deux pare-feu. Pour empêcher les attaques d’un serveur compromis sur d’autres machines de la DMZ, il est possible d’éloigner ces dernières en utilisant d’autres logiciels pare-feu ou via une seg­men­ta­tion dans le réseau local virtuel (de l’anglais Virtual Local Area Network ou VLAN).

DMZ avec un pare-feu

Il est plus rentable de réaliser une DMZ via un seul pare-feu per­for­mant (par exemple un routeur incluant un pare-feu) avec trois con­nec­tions réseaux séparées : une pour Internet, une pour le réseau local et une troisième pour la zone dé­mi­li­ta­ri­sée. En ce qui concerne les DMZ protégées, toutes les con­nexions sont sur­veil­lées par le même pare-feu in­dé­pen­dam­ment les unes des autres, ce qui peut entraîner un point unique de dé­fail­lance dans le réseau (de l’anglais Single point of Failure). Par ailleurs, le pare-feu doit, dans une telle ar­chi­tec­ture, être capable gérer tant le trafic provenant d’Internet que les accès qui viennent du réseau local.

Image: DMZ avec un pare-feu
Avec une zone dé­mi­li­ta­ri­sée protégée, un seul pare-feu surveille les con­nexions réseau et contrôle ainsi le trafic Internet et l’accès au réseau local. (Source : https://commons.wikimedia.org/wiki/File%3ADMZ_network_diagram_2_firewall.svg)

Hôte exposé

De nombreux routeurs bons marchés se vantent de pouvoir prendre en charge une zone dé­mi­li­ta­ri­sée. Mais ces derniers per­met­tent seulement de con­fi­gu­rer un or­di­na­teur au réseau local en tant qu’hôte exposé (exposed host en anglais).  A cela, le routeur en amont transfère toutes les requêtes provenant d’Internet qui n’ap­par­tien­nent à aucune connexion existante. L’or­di­na­teur est ainsi ac­ces­sible aux uti­li­sa­teurs Internet. En revanche, la fonction de recherche d’une vraie zone dé­mi­li­ta­ri­sée ne propose pas d’hôte exposé étant donné que celui-ci n’est pas séparé du réseau local.

Aller au menu principal