[ URL      ] : https://notes.fr/2016/02/11/DMZ/
[ CATEGORY ] : /Securité/Firewall
[ TAGS     ] :
[ AUTHOR   ] : 4L1N3

DMZ

La DMZ (DeMilitarized Zone) est un sous-réseau isolé séparant le réseau local (le LAN) et un réseau considéré comme moins sécurisé (Internet en général) à l’aide d’un firewall. La DMZ héberge des machines/serveurs qui ont besoin d’être accessibles depuis l’extérieur, c’est une zone tampon entre le réseau à protéger et un réseau hostile. Les serveurs du LAN ne sont jamais exposés directement à Internet, à l’inverse, les personnes de l’extérieur n’ont jamais directement accès aux ressources du LAN. Tout transite par la DMZ et en cas de compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de cette dernière et non au réseau local.

Note : Il est possible de mettre en place des DMZ en interne pour cloisonner le LAN selon différents niveaux de protection

Architecture DMZ

Au niveau architecture réseau, il existe plusieurs façons de concevoir un réseau avec DMZ.

Un seul pare-feu

Utiliser un unique pare-feu avec trois interfaces réseau :

  • Le réseau externe est formé sur la première interface, entre le FAI et le firewall.
  • Le réseau interne est formé à partir de la deuxième interface réseau.
  • Le réseau DMZ est formé partir de la troisième interface.

Les règles de firewall contrôleront le trafic entre lnternet et la DMZ et entre le LAN et la DMZ.

Inconvénient : Si le firewall est compromis, l’architecture tombe.

Deux pares-feu

Utiliser deux firewalls pour créer une DMZ :

  • Le premier laisse passer uniquement le trafic vers la DMZ.
  • Le second n’autorise que le trafic entre la DMZ et le réseau interne.

Cette configuration est considérée comme mieux sécurisée, puisqu’un pirate devra compromettre deux machines pour accéder au LAN interne.

Vidéo explicative DMZ

Vidéo : https://youtu.be/mY-TvNXFHl0

Activez la DMZ sur sa Box

Sur la Freebox

Il suffit de se connecter sur mafreebox.freebox.fr et d’aller dans “Paramètres de la Freebox” puis “Gestion des ports” et d’activer la DMZ en mettant l’adresse IP que l’on veut rendre accessible depuis l’extérieur.

Les ports nécessaires pour les services hébergés sur le serveur de la DMZ seront à rediriger.

Il est à noter que Free autorise la création d’un nom de domaine pour votre freebox qui pourra donc être utilisé depuis l’extérieur pour accéder au serveur de la DMZ.

Documentation

https://cookieconnecte.fr/2017/11/07/la-dmz-pour-les-nuls/
https://fr.wikipedia.org/wiki/Zone_d%C3%A9militaris%C3%A9e_%28informatique%29
https://fr.wikipedia.org/wiki/Bastion_(informatique)
http://supertos.free.fr/supertos.php?page=1688
https://www.aformatique.fr/manual/dmz_conception.pdf

> Partager <