Archives par mot-clé : DMZ

La DMZ pour les nuls

Le terme DMZ vient de l’anglais “DeMilitarized Zone” et veut dire zone démilitarisée en francais. En informatique, la DMZ est un sous-réseau isolé séparant le réseau local (le LAN donc) et un réseau considéré comme moins sécurisé, comme Internet par exemple. Et cette séparation est faite par un firewall.

La DMZ héberge justement des machines du réseau interne qui ont besoin d’être accessibles depuis l’extérieur, c’est le cas notamment lorsqu’ils fournissent un service fourni aux utilisateurs sur Internet (serveur web, un serveur de messagerie, proxy, RP, un serveur FTP public, DNS, VoIP, etc)

La DMZ joue le rôle de « zone tampon » entre le réseau à protéger et un réseau hostile. Les serveurs du LAN ne sont jamais exposés directement à Internet. Et à l’inverse, les personnes de l’extérieur n’ont jamais à accéder directement à des ressources du LAN. Tout doit d’abord transiter par la DMZ

En terme de sécurité cela veut aussi dire qu’en cas de compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la DMZ et non au réseau local.

A noter qu’il est aussi tout à fait possible de mettre en place des DMZ en interne afin de cloisonner le réseau interne selon différents niveaux de protection

En termes d’architecture, Il existe plusieurs façons de concevoir un réseau avec DMZ.

La première méthode est d’utiliser Un seul pare-feu avec trois interfaces réseau à créer. Le réseau externe est formé sur la première interface, entre le FAI et le firewall. Le réseau interne est formé à partir de la deuxième interface réseau. Et la DMZ à partir de la troisième interface. Et les différentes règles de firewall vont contrôler le trafic entre lnternet et la DMZ, et entre le LAN et la DMZ. Le principal inconvénient de cette architecture est que si cet unique firewall est compromis, cette architecture tombe.

Une architecture plus sécurisée consiste simplement à utiliser deux firewalls pour créer une DMZ. Le premier laisse passer uniquement le trafic vers la DMZ. Le second n’autorise que le trafic entre la DMZ et le réseau interne. Cette configuration est considérée comme mieux sécurisée, puisqu’un pirate devra compromettre deux machines pour accéder au LAN interne.

Pour aller plus loin sur ce sujet, je vous conseille fortement d’aller voir ma vidéo sur le firewall

Firewall : l’essentiel en 8 minutes

Cette vidéo répond aux questions :
– Qu’est ce qu’un Firewall?
– Quelles sont les fonctionnalités clés du Firewall?
– Quel est l’intérêt d’un Firewall?
– Quelles sont les règles de filtrage?
– Qu’est ce qu’une DMZ?
– Comment protéger le réseau interne d’une entreprise d’Internet?
– Quels sont les différents types de Firewall?

 

C’est quoi un firewall?

Un pare-feu est un élément du réseau informatique,  logiciel, matériel, ou les deux à la fois, qui a pour fonction de sécuriser un  réseau en définissant les communications autorisés ou interdites.

Le firewall permet d’interconnecter 2 réseaux (ou plus) de niveaux de sécurité différents (par exemple : internet et le réseau interne d’une entreprise). Le firewall joue un rôle de sécurité en contrôlant les flux de données qui le traversent (en entrée ou en sortie). Il permet ainsi de filtrer les communications, de les analyser et enfin de les autoriser ou de les rejeter selon les règles de sécurité en vigueur. 

Règles de filtrages des accès.

Les critères les plus courants de filtrage sont les suivantes

  • L’origine ou/et la destination des paquets (avec l’adresse IP, les ports TCP ou UDP notamment)
  • Les options contenues dans les données (comme leur fragmentation ou leur validité par exemple) ;
  • Les données elles-mêmes évidemment ;
  • Et même les utilisateurs pour les firewalls les plus récents.

Types de firewalls

Il existe différents types de firewalls en fonction de la nature de l’analyse et des traitement effectués.

Le premier type de firewall est le pare-feu sans état ou stateless packet firewall. Ce type de firewall regarde chaque paquet indépendamment des autres et le compare à une liste de règles de filtrages, appelée ACL (Access Control Lists). Ce firewall accorde ou refuse le passage de paquet en se basant sur :

  • L’adresse IP Source/Destination.
  • Le numéro de port Source/Destination.
  • Et bien sur le protocole de niveaux 3 ou 4 du modèle OSI (IP pour le réseau et TCP/UDP pour le transport).

Ainsi une fonction de filtrage d’un firewall peut être paramétrée en fonction des numéros de port.

La principale limite des firewalls sans états est que l’administrateur va être rapidement contraint à autoriser un trop grand nombre d’accès, ce qui limite la protection.

Ces pare-feux ont donc tendance à être obsolètes mais restent présents sur certains routeurs.

Passons au deuxième type de firewalls : il s’agit du pare-feu à états (stateful firewall).

Les pare-feux à états vérifient que chaque paquet d’une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l’autre sens. Les pare-feu à états maintiennent un tableau des connexions ouvertes et associent les nouvelles demandes de connexion avec des connexions autorisées existantes. Ainsi si une connexion est autorisée, tous les paquets constitutif de l’échange seront implicitement acceptés.

La particularité de ce type de firewall est de pouvoir prendre des décisions de filtrage en fonction des informations accumulées lors des connexions précédentes, et non plus seulement sur des règles définies par l’administrateur.

Par contre, le « pare-feu à états » est limitée à garder un suivi du trafic avec sa table d’états et d’établir la correspondance ou pas.  Ce qui veut dire que une fois que l’accès à un service a été autorisé, il n’y a aucun contrôle effectué sur les requêtes et réponses.

Concernant le firewall applicatif, il permet de filtrer les communications application par application. Les requêtes sont traitées par des processus dédiés (par exemple une requête de type Http sera filtrée par un processus proxy Http). Le pare-feu rejettera toutes les requêtes qui ne sont pas conformes aux spécifications du protocole. 

Le firewall applicatif peut faire du « proxying applicatif » :

Il fait l’intermédiaire en invoquant le service demandé à la place de l’utilisateur en validant chaque contenu et en masquant certains informations. On parle de « masquage d’adresse » : lorsqu’un utilisateur interroge un site web,  c’est le proxy interne (firewall applicatif) qui en tant que relais contacte le serveur externe avec sa propre adresse, et non celle du système de l’utilisateur final.

Enfin, il y a le firewall identifiant qui est capables de réaliser l’identification des connexions en passant à travers le filtre IP.  L’administrateur peut ainsi définir les règles de filtrage par utilisateur (et non plus par adresse IP ou adresse MAC).

Enfin, dernier type de firewall : le firewall personnel. On le retrouve dans le cas où la zone protégée se limite à l’ordinateur sur lequel le firewall est installé (comme logiciel). Ainsi, un firewall personnel sur ce poste de travail permet de contrôler l’accès au réseau des applications installées sur ce seul poste de travail. Le firewall personnel permet en effet de repérer et d’empêcher l’ouverture non sollicitée de la part d’applications non autorisées à se connecter.