Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les 5 minutes du professeur Audenard - épisode 7 : La DMZ sortante

Les 5 minutes du professeur Audenard - épisode 7 : La DMZ sortante
2011-03-282013-03-25sériesfr
Ce 7ième épisode des "5 minutes du professeur http://www.orange-business.com/fr/admin/structure/taxonomy/tags/listAudenard" a pour thème les zones démilitarisées (DMZ - De-Militarized Zone). Nous en profiterons pour rappeler le concept de zone de...
Publié le 28 Mars 2011 par Jean-François Audenard dans séries
les 5 minutes du professeur audenard

Ce 7ième épisode des "5 minutes du professeur Audenard" a pour thème les zones démilitarisées (DMZ - De-Militarized Zone).

Le terme "zone de sécurité" est une notion essentielle dans la sécurité. Ce terme est utilisé dans de très nombreux contextes que ce soit pour la sécurité des applications, des bâtiments ou des réseaux. C'est peut-être dans le monde des réseaux que le terme est le plus fréquemment rencontré.


[FR] les 5 minutes du professeur Audenard... par orange_business

 

qu'est-ce-qu'une zone ?

Une zone, c'est un regroupement logique de ressources ou d'éléments ayant un "profile de sécurité" commun. Par "profile de sécurité", il faut comprendre des éléments ayant des mêmes niveaux de confiance, d'exposition au risque, une même politique de sécurité ou des besoins de sécurité identiques.

Un serveur web sur Internet aura un niveau d'exposition différent d'un serveur web Intranet. De même, l'ordinateur portable d'un utilisateur en mobilité (connecté sur un hotspot wifi public) aura un niveau de sécurité et de confiance différent d'un ordinateur connecté directement sur le réseau local de l'entreprise. Dans ces deux cas, les serveurs et portables devront être considérés comme étant dans des zones différentes.

passage d'une zone à une autre

Permettre la communication entre les zones est très souvent nécessaire. Dans le cas d'un accès à l'Internet pour une entreprise, nous aurons à minima deux zones : Une première zone ou se trouvent les postes de travail et les serveurs (nous l'appellerons "zone interne")  et une autre zone dans laquelle nous retrouverons l'Internet (celle-ci sera appelée "zone externe").

Les communications entre zones sont gérées (ou "orchestrées") via des équipements de type "firewall" ou "pare-feu". Ils permettent de définir quelles sont les communications autorisées et quelles sont celles qui sont interdites : C'est la "politique de filtrage".

Afin de permettre aux personnes d'accéder à Internet depuis leur poste de travail, le passage d'une zone à une autre pourra être mis en place de deux façons différentes. Ce qui différenciera une solution de l'autre c'est le niveau de sécurité, ou plus précisément le niveau d'exposition aux risques pour la "zone interne".

connexions sortantes directes

Dans ce mode, un système interne (appartenant à la "zone interne") communique directement avec un système externe situé dans la "zone externe". C'est le cas d'un utilisateur accédant à un site Internet via son navigateur Internet depuis son poste.

Cette interconnexion avec connexions sortantes directes est très simple à mettre en oeuvre et ne demande que peu d'équipements. Cependant, elle comporte des risques importants :

risque #1 : Exposition via le chemin de retour

Lors de la communication sortantes ("zone interne" --> "zone externe"), il est nécessaire d'autoriser la réponse à rentrer ("zone externe" --> "zone interne"). Il se peut que cette réponse soit une attaque (un "exploit", un virus, ....). Le poste de travail va donc être directement exposé aux éventuelles attaques transitant via ce flux rentrant.

risque #2 : Exposition d'une machine interne

Comme les machines situées sur la "zone interne" peuvent se connecter directement à des machines localisées sur la "zone externe", il y a une augmentation du risque que ces communications puissent être détournées. C'est typiquement le cas quand une machine est infectée par un logiciel espion (ou un logiciel "zombie") et qu'elle se connecte à son serveur de commande. Les données "sortent" de l'entreprise sans aucune forme de contrôle ni d'analyse.

connexions sortantes via un relais :  Des serveurs relais en zone DMZ

Afin de permettre des connexions entre une zone de confiance et une zone non-contrôlée tout en évitant d'exposer directement la zone de confiance ("zone interne"), un "point de relais" entre les deux zones est requis. Ce point de relais se matérialise sous la forme d'un serveur d'un type particulier spécialement conçu dans ce but. Ce serveur relais va servir de mandataire obligatoire (ou "proxy" / "mandatory proxy") entre les machines localisées sur la "zone interne" et les serveurs situés sur la "zone externe".

la DMZ

La DMZ est une zone dont le niveau de confiance est "moyen" : D'un coté, on maîtrise aussi bien les serveurs présents dans celle-ci ainsi que les communications autorisés à y entrer et à en sortir. De l'autre, on ne maîtrise pas les machines pouvant s'y connecter ou le contenu des échanges (dans notre exemple d'accès à l'Internet depuis des postes de travail, on ne maîtrise pas le contenu des réponses envoyées par les sites Internet).

Une autre caractéristique d'une DMZ c'est qu'elle sert de point de passage ; ou de dénominateur commun ; entre des zones de niveau de confiance différents.

Dans une DMZ, on va positionner un ou plusieurs serveurs relais. Tout dépendra des communications qui seront autorisées entre les zones et des besoins d'analyse ou de contrôle des communications.

le serveur de relais

Étant le point de passage obligé de toutes les communications, le serveur de relais va être en mesure d'analyser les demandes de connexions ainsi que les réponses à celles-ci. Ainsi, il pourra filtrer toute demande illicite (par exemple, accès à un site de jeu en ligne) ou bloquer d'éventuels attaques ou virus empruntant les flux retours.

Comme le serveur relais est l'unique point de contact avec les serveurs situés sur la "zone externe" (ici Internet), il sera plus aisé de réaliser sa sécurisation (renforcement, application des correctifs de sécurité, ...) afin de protéger les machines localisées sur le réseau local (ici la "zone interne").

DMZ et zones de sécurité : Des concepts essentiels

Le concept de DMZ, et plus globalement celui de "zones de sécurité" sont des concepts essentiels dans la sécurité des systèmes d'information. On retrouve ces zones tant entre des réseaux privés et l'Internet mais aussi au sein même de grands réseaux et plate-formes privés.

En effet, il peut-être facile (et encore !) de maîtriser complètement la sécurité de 15 machines sur un seul réseau, cela relève du challenge sur un réseau de 800 sites avec plusieurs dizaines de milliers de machines : dans un tel contexte, la création de sous-zones internes permet une meilleure gestion de la sécurité ("zone serveurs", "zone points de vente", "zone laboratoire R&D", "zone Internet", "zone comptabilité et gestion", ...).

 

4 Commentaires

  • 5 Juillet 2015
    2015-07-05
    par
    Daniel Kolski
    Merci pour toutes ces vidéos enrichissantes. J'ai une petite question concernant la DMZ et l'utilisation du Proxy. Que se passe-t-il.il si le site joint est en https ? je pose cette question car avec la généralisation de http 2.0, de plus en plus de sites sont en https. Merci d'avance.
  • 18 Juin 2012
    2015-07-05
    par
    Ndiaye
    tout d abord merci pour la présentation .en faite,j aimerais savoirs les types de serveurs qu'on doit placer dans la zone DMZ .et les moyens pour la sécurisation de deux sites distant

  • 28 Mars 2011
    2015-07-05
    par
    Merci pour cette précision qui saura intéresser nos lecteurs les plus soucieux de leur sécurité.
    La séparation en deux DMZ distinctes est effectivement une très bonne approche : La séparation des services en fonction de leurs usages est encore plus claire et les impacts éventuels en cas de dysfonctionnement ou problème de sécurité est minimisée. Une bonne pratique malheureusement rarement constatée sur le terrain car rares sont les petites entreprises ayant ne serait-ce qu'une seule DMZ. Alors 2 n'en parlons pas !
  • 28 Mars 2011
    2015-07-05
    par
    C'est bien de rappeler les bonnes pratiques en terme de DMZ. Personnellement, j'aime bien faire 2 DMZ sur mes réseaux, l'une uniquement entrante et l'autre uniquement sortante. Cela limite les risques de rebonds et d'abus en cas d'intrusion sur une des machines entrantes, et ça m'assure que les relais sortants n'ont pas accès au réseau local, d'où qu'ils soient utilisés / abusés. C'est simple, peu coûteux et très efficace.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage