La zone démilitarisée : protéger le réseau interne

Toutes les entreprises qui disposent d’un serveur de messagerie ou d’un hébergement Web font face au même dilemme : les machines qui fournissent des services Web et de messagerie son supposées être continuellement en ligne. Pendant ce temps, les salariés qui utilisent le réseau local (en anglais Local Area Network, soit LAN, souvent également appelé intranet en français) doivent disposer d’un accès rapide à leurs ressources. Cependant, le fait de travailler sur le même réseau est peu sécurisé. Les serveurs Web, de messagerie, DNS ou de proxy qui doivent recourir au réseau public soit à l’Internet général fournissent aux hackers une importante surface d’attaque. Si ces derniers, aussi appelés bastions, sont directement liés au réseau local, on court alors le risque qu’un serveur corrompu endommage le réseau entier de l’entreprise. Une solution à ce dilemme est de créer un réseau de périmètre, soit une zone démilitarisée (notée DMZ pour DeMilitarized Zone) dans laquelle les serveurs en danger sont placés.

On entend par une zone démilitarisée un réseau d’ordinateur qui sert de zone tampon entre deux réseaux et qui dispose de sa propre adresse IP. Leurs règles d’accès sont clairement délimitées. Les serveurs qui se trouvent à l’intérieur d’une DMZ sont encore physiquement dans l’entreprise mais ne sont pas directement liés aux machines connectées au réseau local. La fonction de protection la plus performante a une architecture où la zone démilitarisée fait écran aux réseaux voisins entre le LAN et Internet via un pare-feu séparé. En revanche, les architectures de réseaux, où tout est relié à un seul pare-feu accompagné de trois terminaux distincts, sont plus avantageuses. On parle alors d’un DMZ protégé (soit DMZ protected en anglais).

Cette architecture de sécurité hiérarchique permet de configurer des routeurs statiques dans le but de réguler le trafic de données entre les réseaux comme ci-dessous :

Alors qu’un internaute venant du réseau local peut avoir accès au serveur dans la DMZ mais également sur le Web, seul l’accès à la zone démilitarisée n’est pas permis aux utilisateurs Internet. Le trafic de données provenant de la DMZ est bloqué par les deux pare-feu.

Il n’est pas conseillé d’utiliser les pare-feu du même constructeur. En effet, des hackers peuvent détecter des failles de sécurité et ainsi franchir sans problèmes les deux pare-feu. Pour empêcher les attaques d’un serveur compromis sur d’autres machines de la DMZ, il est possible d’éloigner ces dernières en utilisant d’autres logiciels pare-feu ou via une segmentation dans le réseau local virtuel (de l’anglais Virtual Local Area Network ou VLAN).

Hôte exposé

De nombreux routeurs bons marchés se vantent de pouvoir prendre en charge une zone démilitarisée. Mais ces derniers permettent seulement de configurer un ordinateur au réseau local en tant qu’hôte exposé (exposed host en anglais).  A cela, le routeur en amont transfère toutes les requêtes provenant d’Internet qui n’appartiennent à aucune connexion existante. L’ordinateur est ainsi accessible aux utilisateurs Internet. En revanche, la fonction de recherche d’une vraie zone démilitarisée ne propose pas d’hôte exposé étant donné que celui-ci n’est pas séparé du réseau local.