les 5 minutes du professeur Audenard - épisode 7 : La DMZ sortante

Ce 7ième épisode des "5 minutes du professeur Audenard" a pour thème les zones démilitarisées (DMZ - De-Militarized Zone).

Le terme "zone de sécurité" est une notion essentielle dans la sécurité. Ce terme est utilisé dans de très nombreux contextes que ce soit pour la sécurité des applications, des bâtiments ou des réseaux. C'est peut-être dans le monde des réseaux que le terme est le plus fréquemment rencontré.

[FR] les 5 minutes du professeur Audenard... par orange_business

qu'est-ce-qu'une zone ?

Une zone, c'est un regroupement logique de ressources ou d'éléments ayant un "profile de sécurité" commun. Par "profile de sécurité", il faut comprendre des éléments ayant des mêmes niveaux de confiance, d'exposition au risque, une même politique de sécurité ou des besoins de sécurité identiques.

Un serveur web sur Internet aura un niveau d'exposition différent d'un serveur web Intranet. De même, l'ordinateur portable d'un utilisateur en mobilité (connecté sur un hotspot wifi public) aura un niveau de sécurité et de confiance différent d'un ordinateur connecté directement sur le réseau local de l'entreprise. Dans ces deux cas, les serveurs et portables devront être considérés comme étant dans des zones différentes.

passage d'une zone à une autre

Permettre la communication entre les zones est très souvent nécessaire. Dans le cas d'un accès à l'Internet pour une entreprise, nous aurons à minima deux zones : Une première zone ou se trouvent les postes de travail et les serveurs (nous l'appellerons "zone interne")  et une autre zone dans laquelle nous retrouverons l'Internet (celle-ci sera appelée "zone externe").

Les communications entre zones sont gérées (ou "orchestrées") via des équipements de type "firewall" ou "pare-feu". Ils permettent de définir quelles sont les communications autorisées et quelles sont celles qui sont interdites : C'est la "politique de filtrage".

Afin de permettre aux personnes d'accéder à Internet depuis leur poste de travail, le passage d'une zone à une autre pourra être mis en place de deux façons différentes. Ce qui différenciera une solution de l'autre c'est le niveau de sécurité, ou plus précisément le niveau d'exposition aux risques pour la "zone interne".

connexions sortantes directes

Dans ce mode, un système interne (appartenant à la "zone interne") communique directement avec un système externe situé dans la "zone externe". C'est le cas d'un utilisateur accédant à un site Internet via son navigateur Internet depuis son poste.

Cette interconnexion avec connexions sortantes directes est très simple à mettre en oeuvre et ne demande que peu d'équipements. Cependant, elle comporte des risques importants :

risque #1 : Exposition via le chemin de retour

Lors de la communication sortantes ("zone interne" --> "zone externe"), il est nécessaire d'autoriser la réponse à rentrer ("zone externe" --> "zone interne"). Il se peut que cette réponse soit une attaque (un "exploit", un virus, ....). Le poste de travail va donc être directement exposé aux éventuelles attaques transitant via ce flux rentrant.

risque #2 : Exposition d'une machine interne

Comme les machines situées sur la "zone interne" peuvent se connecter directement à des machines localisées sur la "zone externe", il y a une augmentation du risque que ces communications puissent être détournées. C'est typiquement le cas quand une machine est infectée par un logiciel espion (ou un logiciel "zombie") et qu'elle se connecte à son serveur de commande. Les données "sortent" de l'entreprise sans aucune forme de contrôle ni d'analyse.

connexions sortantes via un relais :  Des serveurs relais en zone DMZ

Afin de permettre des connexions entre une zone de confiance et une zone non-contrôlée tout en évitant d'exposer directement la zone de confiance ("zone interne"), un "point de relais" entre les deux zones est requis. Ce point de relais se matérialise sous la forme d'un serveur d'un type particulier spécialement conçu dans ce but. Ce serveur relais va servir de mandataire obligatoire (ou "proxy" / "mandatory proxy") entre les machines localisées sur la "zone interne" et les serveurs situés sur la "zone externe".

la DMZ

La DMZ est une zone dont le niveau de confiance est "moyen" : D'un coté, on maîtrise aussi bien les serveurs présents dans celle-ci ainsi que les communications autorisés à y entrer et à en sortir. De l'autre, on ne maîtrise pas les machines pouvant s'y connecter ou le contenu des échanges (dans notre exemple d'accès à l'Internet depuis des postes de travail, on ne maîtrise pas le contenu des réponses envoyées par les sites Internet).

Une autre caractéristique d'une DMZ c'est qu'elle sert de point de passage ; ou de dénominateur commun ; entre des zones de niveau de confiance différents.

Dans une DMZ, on va positionner un ou plusieurs serveurs relais. Tout dépendra des communications qui seront autorisées entre les zones et des besoins d'analyse ou de contrôle des communications.

le serveur de relais

Étant le point de passage obligé de toutes les communications, le serveur de relais va être en mesure d'analyser les demandes de connexions ainsi que les réponses à celles-ci. Ainsi, il pourra filtrer toute demande illicite (par exemple, accès à un site de jeu en ligne) ou bloquer d'éventuels attaques ou virus empruntant les flux retours.

Comme le serveur relais est l'unique point de contact avec les serveurs situés sur la "zone externe" (ici Internet), il sera plus aisé de réaliser sa sécurisation (renforcement, application des correctifs de sécurité, ...) afin de protéger les machines localisées sur le réseau local (ici la "zone interne").

DMZ et zones de sécurité : Des concepts essentiels

Le concept de DMZ, et plus globalement celui de "zones de sécurité" sont des concepts essentiels dans la sécurité des systèmes d'information. On retrouve ces zones tant entre des réseaux privés et l'Internet mais aussi au sein même de grands réseaux et plate-formes privés.

En effet, il peut-être facile (et encore !) de maîtriser complètement la sécurité de 15 machines sur un seul réseau, cela relève du challenge sur un réseau de 800 sites avec plusieurs dizaines de milliers de machines : dans un tel contexte, la création de sous-zones internes permet une meilleure gestion de la sécurité ("zone serveurs", "zone points de vente", "zone laboratoire R&D", "zone Internet", "zone comptabilité et gestion", ...).