Archives de catégorie : Video

Le chiffrement SSL/TLS pour les débutants

Bonjour à tous!

Dans cette vidéo je vais vous parler de chiffrement des communication sur le web. Plus concrètement c’est lorsque vous surfez sur des sites en https. Alors oui, vous savez maintenant que le S c’est pour dire que la communication est sécurisée car chiffrée.

Et dans cette vidéo, je vous explique comment tout ça marche dans cette vidéo.

 

 

Mais voyons ce qu’est le chiffremement web avec un exemple :

  • Lorsque vous vous connectez sur le site de votre banque, la connexion se fait toujours en https pour des raisons de sécurité
  • Vous pouvez vérifier ce sera toujours le cas (ou alors changez de banque!)
  • Mais que se passerait-il si la communication se faisait en HTTP?

Eh bien c’est simple, toutes les informations échangées transiteraient en clair. Ce qui veut dire qu’une personne malveillante peut intercepter les échanges avec votre banque et donc avoir toutes les informations qui y transitent

En fait le HTTPS c’est une connexion HTTP dans un tunnel chiffré SSL/TLS. Et ce tunnel va sécuriser vos échanges car mêmce si une personne malveillante intercepte vos échanges, les informations sont chiffrées et donc incompréhensibles pour elles.

SSL veut Secure Sockets Layer. TLS veut dire Transport Layer Security. SSL et TLS sont des protocoles de sécurisation des échanges sur Internet. Aujourd’hui c’est TLS qui est utilisé, SSL étant obsolète. Mais on parle parfois de SSL/TLS pour parler juste de TLS.

 

Maintenant voyons ce qui se passe derrière ce chiffrement SSL/TLS.

Le chiffrement consiste à transformer vos données afin de les rendre illisible grâce un algorithme de chiffrement et une clé de chiffrement

La clé de chiffrement est utilisé par un algorithme, pour chiffrer et déchiffrer des données utiles (l’information qu’on veut faire transiter). La clé de chiffrement c’est une donnée (en gros c’est une suite de bits comme une phrase ou une série de chiffres) qu’on peut voir comme un mdp. Un algorithme de chiffrement c’est juste une méthode de chiffrement, cad une façon de rendre inintelligible vos données.

Pour pouvoir lire ces données de nouveau, il est nécessaire de connaître l’algorithme et la clé de chiffrement pour les déchiffrer

 

Maintenant que vous avez compris ça, passons à la notion de cryptographie symétrique :

  1. Ici Alice et Bob ont la même clé secrète.
  2. Alice veut envoyer un message à Bob. Elle veut que personne d’autre que Bob ne puisse lire ce message. Du coup, elle prend sa clé secrète et va chiffrer le message avec
  3. Elle envoie le message chiffré à Bob
  4. Lorsque Bob recoit le message d’Alice, il ne peut pas encore le comprendre à la reception. Il faut d’abord qu’il déchiffre le message avec la même clé secrète. Et c’est seulement là qu’il pourra lire le message
  5. Et si Bob veut répondre à Alice de façon sécurisé, il peut utiliser la clé secrète pour chiffrer sa réponse et ensuite l’envoyer à Alice.

Il y a donc une seule clé pour chiffrer et déchiffrer un message

Le Gros problème de la cryptographie symétrique c’est l’échange de ces clés. En effet, Le fait que les 2 personnes. doivent utiliser la même clé impose d’avoir un canal sécurisé pour l’échange de la clé parce que si quelqu’un d’autre arrive à s’emparer de la clé… il sera capable de lire le message…

Passons maintenant à la cryptographie asymétrique

Le principe du chiffrement asymétrique repose sur l’utilisation de 2 clefs :

  • on appelle une des 2 clefs la clef privée et l’autre la clef publique.
  • Quand l’utilisateur chiffre avec la première clef, il peut déchiffrer avec la deuxième clé
  • Quand l’utilisateur chiffre avec la deuxième clef, il peut déchiffrer avec la première clef.
  • Peu importe l’ordre des clés utilisés parce qu’en fait ces 2 clés ou algorithme de chiffrement sont liés mathématiquement

Reprenons avec Alice qui a maintenant une clé privée et une clé publique :

  • La clef privée n’est jamais transmise à personne (ça porte bien son nom d’ailleurs).
  • Par contre, Alice peut diffuser sa clé publique à n’importe qui,
  • Donc là Alice a envoyé sa clé publique à Bob pour que les 2 puisse communiquer

Voyons maintenant comment ça marche :

  1. Ici Bob et Alice se sont transmis leur clé publique et garde leur clé privé
  2. Bob veut envoyer un message à Alice et veut que seul Alice puisse lire le message. Il chiffre donc son message avec la clef publique d’Alice
  3. Alice déchiffre le message avec sa clef privée (il n’y a qu’elle qui possède cette clef). Alice est la seule à pouvoir déchiffrer les messages qui lui sont adressés
  4. De façon similaire, Si Alice veut répondre à Bob. Alice utilise la clef publique de Bob pour envoyer le message;
  5. Bob utilisera sa propre clef privée pour le déchiffrer le message

Ce procédé assure la confidentialité de l’échange c’est-à-dire être sûr que Alice et Bob sont les seuls à échanger.

Bob est sûr que seul Alice peut lire son message puisque Bob a utilisé la clef publique d’Alice pour chiffrer son message. Seule la clé privé d’Alice peut déchiffrer le message de bob. Bob est donc sûr que seule Alice peut lire le message et inversement pour Alice avec la clef publique de Bob

Ensuite la cryptographie asymétrique garantit aussi l’authenticité de l’expéditeur :

  • C’est-à-dire que pour Bob c’est être sur le message d’Alice vient bien Alice)
  • Eh oui parce que si Bob réussit à déchiffrer le message avec la clé publique d’Alice c’est que le message a été chiffré avec la clé privée d’Alice
  • Tous ceux qui ont la clé publique peuvent déchiffrer le message d’Alice, mais seule Alice possède sa clé privé
  • Si Bob arrive a déchiffrer le message avec la clé publique d’Alice il sait que le message est bien d’Alice

Le problème va venir de la transmission de la clé publique. Notamment si une personne malveillante, qu’on va appeler M pour la suite, se positionne entre Alice et Bob, et se fait passer pour l’un d’eux et donne sa clé publique à la place. C’est l’attaque du MITM ou de l’homme du milieu en français

Il va diffuser une clé publique à Bob en se faisant passer pour ALice. Bob croit alors que c’est la clé publique d’Alice. Alice et Bob ont tous les deux la clef publique de M, en pensant qu’ils ont celle de leur interlocuteur. M intercepte et modifie l’échange de clefs entre Alice et Bob.

Du coup, lorsque Alice veut envoyer un message à Bob, elle va l’envoyer en chiffrant avec la clé publique supposé appartenir à Bob. En fait, M va intercepter le message, il va le déchiffrer avec sa clé privé et lire le message. Ensuite pour ne pas éveiller les soupçon, il va chiffrer le message avec la clé publique de bob et envoyer le message à Bob.

Comme ça Bob déchiffre avec sa clé privé pour lire le message. M est donc capable de lire les conversations entre les 2 et de récupérer des informations importantes.

Et à l’inverse, quand bob veut échanger avec alice, il utilise la clé publique de M pour chiffrer et M fait la même chose cad qu’il intercepte le message, l’ouvre, le lit et le rechiffre avec la clé publique d’alice.

Pour éviter que probleme de MITM, il faudrait pouvoir certifier l’identité du porteur de cette clé. Et ça c’est le rôle du certificat.

Un certificat  est un fichier avec ensemble de données contenant :

  • une clef publique (au minimum)
  • des informations pouvant identifier la personne : nom, e-mail, localisation…
  • des informations liées au certificat, notamment sa date de validité
  • Et une signature électronique d’une autorité de certification

La signature électronique est la preuve le certificat a bien été vérifiée par l’autorité de certification puisque qu’il y a sa signature. Elle est la garantie de son intégrité (cad la preuve que le document n’a pas subit d’altération entre l’instant où il a été signé par son auteur et celui où il a été consulté).

A noter que la signature électronique du certificat c’est la combinaison de vos information et de votre clé publique, tout ça chiffré par la clé privé de l’autorité de certification

une Autorité de Certification est l’institution responsable d’émettre ces certificats et elle garantit que les informations contenus dans ces certificats sont correctes.

Dans notre cas, si Alice veut créer son certificat, il faut qu’elle fournisse sa clé publique et des informations sur elle à l’autorité de certification et des sous (parce que ce n’est pas gratuit), qui elle vérifie tout ça, L’autorité de certification va créer un certificat pour Alice avec la signature électronique de l’AC,

Le certificat atteste donc  que la clef publique du certificat appartient bien à la personne désignée dans le certificat.

 

Maintenant que vous avez toutes ces notions en tête, on peut passer à l’explication du chiffrement SSL/TLS.

Imaginons que vous voulez vous connecter à votre banque, vous allez taper l’adresse de votre banque en https sur votre navigateur :

  1. Vous allez envoyer une demande de connexion sécurisée à votre banque
  2. Votre banque va alors vous envoyer son certificat avec sa clé publique
  3. Votre navigateur vérifie la signature du certificat et sa validité. Il faut savoir que le navigateur a déjà un certain nombre de clés publique d’AC dans sa base de données
  4. Ensuite le navigateur va prendre la clé publique de l’AC qui a certifié le certificat de la banque.
  5. Il va déchiffrer la signature du certificat, s’il y arrive. Cela veut dire que le certificat est de confiance car seul l’AC possède sa clé privé
  6. Si tout est OK, le client et le serveur négocie ensemble pour se mettre d’accord sur un algorithme de chiffrement ainsi qu’une clé secrète commune qu’ils vont utiliser pour cette session d’échange, connus de 2 seulement comme dans la cryptographie symétrique
  7. C’est avec cette clé que vous allez chiffrer et déchiffrer vos échanges avec votre banque et donc communiquer de façon sécurisé

Comprendre le Cloud computing

Aujourd’hui, je vous explique tous les concepts importants à retenir du Cloud computing? Prêt? Allez, on décolle dans le nuage!

Qu’est ce que le Cloud ?

Quand on dit d’un service qu’il est dans le Cloud, cela veut dire que les moyen de production pour fournir le service sont hébergés chez le fournisseur Cloud.

Le Cloud, c’est avant tout un modèle économique qui utilise des technologies existantes. Et en fait, c’est tous les nouveaux concepts liés à ce modèle que je vais expliquer.

Le Cloud, c’est une approche où on consomme des ressources informatiques comme une utilité (comme l’eau ou l’ électricité ou des films). Sauf que là on va parler de puissance de calcul, des serveurs, des équipements réseau ou des applications.

Dans ce cas, le client ne possède pas les moyens de production du service, qui sont alors hébergés chez le fournisseur de ces services. Le client accède alors à ces services informatique par un réseau étendu comme internet.

Les 4 principes clés du Cloud

Un service Cloud est un service à la demande :

  • Cela veut dire qu’un client peut faire une demande à tout instant et pour n’importe qu’elle type de ressources informatiques.
  • Dans ce cas, la réponse à une demande est immédiate et tout ceci sans avoir besoin d’intervention du fournisseur de Cloud puisque tout est automatisé.

Le deuxième principe est d’avoir service mesurable :

  • Comme le Cloud amène la capacité d’allouer dynamiquement des ressources IT, le client et le fournisseur vont avoir besoin de mesurer l’usage fait des ressources,
  • Pour le client, c’est pour savoir ce dont il a besoin a un instant t comme ressources. On est dans un modèle où l’utilisateur n’utilise que ce dont il a besoin et ne paye que ce qu’il utilise. Il est important pour le client d’avoir un suivi du consommé
  • Pour le fournisseur Cloud, cela lui permet de savoir  quelles sont les ressources utilisées et celles disponibles
  • Le suivi des ressources consommé est important pour la gestion et l’optimisation des ressources mais aussi pour des questions de facturation

L’ autre force du Cloud c’est de permettre la mutualisation des ressources :

  • Un hébergeur Cloud possède d’énormes ressources IT et ces ressources sont partagées entre l’ensemble de ses clients en fonction de la demande.  Et tout ça  sans qu’aucun ne sache où se situe la ressources consommée.
  • La mutualisation permet de l’élasticité dans les ressources du cloud en adaptant automatiquement les ressources aux variations de la demande.

Et le dernier principe du cloud c’est justement l’élasticité des ressources :

L’ élasticité des ressources est la capacité d’allouer dynamiquement des ressources en fonction des besoins qu’ils soient temporaires ou durables et que ce soit à la hausse ou à la baisse.

Les Types de Cloud

Il en existent de plusieurs types et ces services Cloud sont catégorisés en fonction des couches techniques fournies.

 

Il y a 3 modèle d’utilisation du Cloud Computing et chacun de ces modèles joue un rôle spécifique.

Le IaaS

L’Infrastructure as a Service (IaaS) correspond à la partie infrastructure du Cloud (logique vu le nom). Plus concretement il fournit des instances d’OS et l’ensemble de l’infrastructure sous-jacente (serveur, réseau, stockage…).

Dans ce modèle,  l’utilisateur ou client du service doit gérer l’ajout des middlewares et des applicatifs.

Le reste est gérée par le fournisseur cloud.

Comme exemples de cas d’usage, on a :

  • la mise à disposition d’une VM temporaire pour des tests
  • L’ augmentation d’un espace de stockage

En produit IaaS, on AWS EC2 par exemple.

La population cible  du IaaS sont les Exploitants informatique

Le PaaS

Le Platform as a Service (PaaS)  fournit en plus de l’infrastructure technique comme le Iaas des composants logiciels intégrés comme des instances de middleware / socles d’exécution (serveur d’application, les base de données…)

Dans ce modèle,  l’utilisateur ou client du service doit  gérer l’ajout des applicatifs.

Exemples de cas d’usage :

  • Mise à disposition d’instances de serveurs d’application / bases de données
  • Ajustement du nombre de nœuds pour un cluster applicatif

En PaaS, on a Openshift et Windows Azure Plateform

Cette offre permet de se focaliser sur le développement des applications

Les Développeurs sont donc la Population cible du PaaS

Le SaaS

Le Software as a Service (SaaS) fournit des applications prêtes à l’emploi s’exécutant sur l’infrastructure du fournisseur et accessibles via le navigateur du client.

L’avantage du client c’est de ne jamais avoir à s’occuper de la mise à jour de l’application

Exemples de cas d’usage : Accès à une messagerie en ligne ou bureautique

En SaaS, on a par exemple tout ce qui est google docs ou Office 360

Les utilisateurs finaux sont la population cible du SaaS

 

Mode d’hébergement Cloud

L’approche Cloud se décline en différents modes d’hébergement.

Chaque mode d’hébergement va avoir un impact sur les caractéristiques essentielles du Cloud.

Tout d’abord, le Cloud public correspond à une externalisation de l’infrastructure chez  un fournisseur tiers  avec des ressources mutualisées ouvertes à tous. C’est le modèle phare et classique du cloud. C’est celui qu’on a pris pour modèle jusqu’à présent

On a aussi le Cloud privé qui est un modèle où l’usage est dédiée à une seule entreprise. Par contre, Le modèle cloud privé limite les caractéristiques essentielles du modèle cloud :

  • La mutualisation des ressources limitée à l’entreprise) et élasticité des ressources sont limitée aux ressources de l’entreprise (pas de ressources virtuellement infinies),
  • Mais elle répond à des besoins de sécurité ou des contraintes légales ou à une volonté de l’entreprise de garder la main sur son infrastructure technique.

Le cloud communautaire quant à lui est une variante du cloud privé pour proposer des services d’infrastructures limité à un groupe d’entreprises.

Enfin, le cloud hybride est un mélange entre cloud public et privé. Cette approche permet de disposer de ressources d’infrastructure dédiées en interne et publiques en externe. Ce modèle est souvent utilisé pour supporter des pics de charges exceptionnels (évènementiels), par exemple pendant les fêtes de Noël.

Se protéger des ransomwares

L’utilisateur, cible privilégiée du cybercriminel

Les cybercriminels sont souvent vus comme des génies de l’informatique et qui grâce à du matos informatique à la pointe des nouvelles technologies sont prêt à partir à l’assaut de n’importe quel système informatique.

Eh bien, sachez que c’est loin d’être le cas…

Honnêtement pourquoi se compliquer la vie à pirater un système informatique hyper-sécurisé alors qu’il suffit juste… de vous demander de le faire?

Les cybercriminels vont tout simplement vous faire faire le sale boulot. Comment? En abusant de votre confiance, comme n’importe quel escroc.

 

Exemple? Le phishing.

C’est une technique où les pirates vont se faire passer pour quelqu’un d’autre : une entreprise, une organisation ou un collègue par exemple. De sorte à ce que vous ayez assez confiance pour faire exécuter le logiciel malveillant à votre insu. Le phishing peut prendre diverses formes : email, chat ou site web par exemple.

Et vous vous retrouvez alors vite infecté en ayant téléchargé un fichier ou en cliquant sur un lien.

 

 

Définition du ransomware

 

Et ça c’est la cyberescroquerie du moment, c’est le ransomware. Le Ransomware, c’est un logiciel malveillant qui après avoir infecté votre machine va “chiffrer” les données. Le ransomware bloque alors l’accès à vos données et même parfois à tout votre système.

Et ce sujet est à prendre au sérieux. Parce que la plupart des Ransomware utilise l’algorithme AES pour chiffrer les fichiers. En gros cela veut dire que une fois infecté c’est trèèèès difficile de récupérer vos données  (même pour des experts en informatique).

En échange de leur libération, les criminels exigent le paiement d’une rançon, et avec en général, une préférence pour le bitcoin pour éviter de se faire prendre.

 

 

Les cyber-escroqueries

Et le meilleur moyen de se défendre d’un ransomware est encore de ne pas se faire infecter. Et c’est pour ça qu’on va voir les procédés les plus courants de cyber-escroqueries

Le premier procédé est l’envoi d’un mail :

Dans cet exemple,  l’email paraît venir d’un interlocuteur qui demande de « voir la facture jointe » en cliquant sur le document attaché. Ce message semble inoffensif. Mais l’ouvrir provoquera la contamination immédiate.

N’ouvrez donc pas les PJ d’expéditeurs inconnus.

Autre variante d’escroquerie par email, voici un message qui semble venir d’OVH mais qui cette fois incite à cliquer sur un lien url. Et Il suffit parfois juste d’ouvrir la page pour se faire infecter.

A noter que dans ce cas, en survolant le lien url avec la souris SANS cliquer, on constate qu’il dirige sur un site malveillant car on voit le lien url en bas de la page. En plus l’adresse mail étrange de l’expéditeur doit attirer votre vigilance

Autre technique : le Site web malicieux

Les sites web malicieux sont conçus pour ressembler aux pages d’un site légitime. Les cybercriminels veulent des informations personnelles (identifiants, mots de passe et informations bancaires) ou vous faire télécharger des logiciels malveillants. Dans ce cas, faites attentions à l’adresse du site web.

Enfin, on a la fausse fenêtre pop-up.

Cette dernière indique généralement que l’ordinateur a été bloqué par une institution, comme la police nationale ici, pour éviter l’accès à des contenus illégaux. Dans cette fenêtre, il est demandé de cliquer sur un lien pour payer une fausse amende, ce qu’il ne faut jamais faire évidemment.

 

Bonnes pratiques

Et voici les bonnes pratiques pour repérer et se prémunir de ces cyber-escroqueries :

  • Faites attention aux noms d’expéditeurs avec des adresses email mal orthographiées ou louches,
  • Attention aussi aux liens url fausses mais volontairement similaires à une marque connue.
  • Ensuite tout email, site web ou pop-up qui demandent de télécharger un élément, de donner des informations personnelles ou de payer directement doit attirer votre vigilance
  • En cas de doute, ne cliquez jamais sur les PJ de ces mails ni sur les liens url et ne leur livrez aucune information.

Ce type d’attaque peut être très difficile à détecter, même avec une grande vigilance. C’est pourquoi il est important de sécuriser votre poste de travail :

  • D’abord avoir un antivirus parce qu’ils peuvent contenir des fonctionnalités anti-ransomware bloquant les activités jugées suspicieuses.
  • Ensuite, vos logiciels doivent être mis à jour dès que possible. Le but est d’éviter que les cybercriminels exploitent d’anciennes failles, déjà réparé par les éditeurs de logiciels via une mise à jour
  • Enfin, Il est primordial d’avoir une sauvegarde hors ligne de vos données. Hors ligne pour que le ransowmare ne puisse pas se propager à votre sauvegarde.

Comme ça, si vous vous faites infecter par un ransomware, vous faites un nettoyage, au pire un reformatage, de votre PC, et ensuite une restauration de vos données à partir de votre sauvegarde.

 

Pour finir un grand merci à Quantic support pour cette collaboration.

En quelques mots :

  • Quantic support est une société qui accompagne les entreprises dans la transformation digitale de leurs métiers.
  • Quantic support favorise l’adoption des nouveaux usages numériques en mettant à disposition des utilisateurs des espaces de travail connectés, sécurisés et accessible de n’importe où, en s’appuyant sur l’offre Microsoft office 365.
  • L’offre Quantic support, c’est aussi le support aux utilisateurs en français comme en anglais, le management des infrastructures et la mobilité.

Front End / Back End / Full Stack : quelles différences?

Pour comprendre la différence entre développement Front End et Back End, imaginez que vous ouvrez un magasin de vêtements.

Vous allez avoir besoin de 2 parties dans la magasin, il y a d’abord la boutique qui est l’espace de vente où vous allez recevoir vos clients. Vous allez engager une personne qui va alors s’occuper d’agencer la boutique pour que cela reflète l’identité de votre marque mais aussi pour donner aux clients l’envie d’acheter vos produits.

A l’arrière de la boutique inaccessible au client, c’est là où vous allez ranger et gérer vos stocks de vêtements, gérer les livraison avec vos fournisseurs, etc, bref ce que le client ne verra jamais mais dont l’activité est essentiel pour faire tourner votre boutique.

Et bien disons maintenant  que le magasin c’est un site web, le développeur front end va s’occuper de tout ce que va être vu par le client et le développeur back end s’occupe de tout ce qui permet de faire tourner le site web

Le développement Front End

Le « frontend » désigne les éléments d’un site internet que vous voyez à l’écran et avec lesquels vous pouvez interagir depuis votre navigateur

Et tout ça c’est en général codé avec du HTML, CSS, JavaScript par le dev Front End. A noter que ce sont de plus en plus les webdesigners qui prennent en charge le développement front end

Il s’agit sur une page web notamment de polices, de menus déroulants, de boutons par exemple. Bref tout ce que vous voyez sur votre navigateur et avec lequel vous pouvez interagir

Mais comme On l’a vu : pour que ce front end puisse tourner il faut aussi du développement back end !

Le développement Back End

Le « backend » est l’arrière boutique d’un site web et donc invisible à l’utilisateur mais qui donne vie au site web. Et il est composé essentiellement de trois éléments :

  • Un serveur (pour l’hébergement web)
  • Une application (c’est à dire le site web) qui tourne donc sur le serveur
  • Et une base de données qui va stocker toutes les données : que ce soit celle du site web, données clients, ou produits, etc.

Et c’est codé avec des langages comme le PHP, Python SQL, Ruby et Java par le développeur Back End.

Le développement Full Stack

Enfin terminons avec Une dernière catégorie de développeurs. Ce sont des devs qui sont capables aussi bien d’intervenir sur le front end que sur le back end. On les appelle les développeurs Full Stack. Un développeur Full Stack est donc un développeur capable d’intervenir sur n’importe quelle couche technique d’une application.

La DMZ pour les nuls

Le terme DMZ vient de l’anglais “DeMilitarized Zone” et veut dire zone démilitarisée en francais. En informatique, la DMZ est un sous-réseau isolé séparant le réseau local (le LAN donc) et un réseau considéré comme moins sécurisé, comme Internet par exemple. Et cette séparation est faite par un firewall.

La DMZ héberge justement des machines du réseau interne qui ont besoin d’être accessibles depuis l’extérieur, c’est le cas notamment lorsqu’ils fournissent un service fourni aux utilisateurs sur Internet (serveur web, un serveur de messagerie, proxy, RP, un serveur FTP public, DNS, VoIP, etc)

La DMZ joue le rôle de « zone tampon » entre le réseau à protéger et un réseau hostile. Les serveurs du LAN ne sont jamais exposés directement à Internet. Et à l’inverse, les personnes de l’extérieur n’ont jamais à accéder directement à des ressources du LAN. Tout doit d’abord transiter par la DMZ

En terme de sécurité cela veut aussi dire qu’en cas de compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la DMZ et non au réseau local.

A noter qu’il est aussi tout à fait possible de mettre en place des DMZ en interne afin de cloisonner le réseau interne selon différents niveaux de protection

En termes d’architecture, Il existe plusieurs façons de concevoir un réseau avec DMZ.

La première méthode est d’utiliser Un seul pare-feu avec trois interfaces réseau à créer. Le réseau externe est formé sur la première interface, entre le FAI et le firewall. Le réseau interne est formé à partir de la deuxième interface réseau. Et la DMZ à partir de la troisième interface. Et les différentes règles de firewall vont contrôler le trafic entre lnternet et la DMZ, et entre le LAN et la DMZ. Le principal inconvénient de cette architecture est que si cet unique firewall est compromis, cette architecture tombe.

Une architecture plus sécurisée consiste simplement à utiliser deux firewalls pour créer une DMZ. Le premier laisse passer uniquement le trafic vers la DMZ. Le second n’autorise que le trafic entre la DMZ et le réseau interne. Cette configuration est considérée comme mieux sécurisée, puisqu’un pirate devra compromettre deux machines pour accéder au LAN interne.

Pour aller plus loin sur ce sujet, je vous conseille fortement d’aller voir ma vidéo sur le firewall