Qu’est-ce qu’une DMZ et comment en configurer une sur votre réseau?
Que signifie «DMZ»? DMZ signifie zone démilitarisée, mais cela signifie en fait différentes choses dans différents royaumes.
Dans le monde réel, une DMZ est une bande de terre qui sert de point de démarcation entre la Corée du Nord et la Corée du Sud. Mais en ce qui concerne la technologie, DMZ est un sous-réseau logiquement séparé qui contient généralement les services Internet d'un réseau hébergés en externe. Alors, quel est exactement le but d'une DMZ? Comment cela vous protège-t-il? Et pouvez-vous en configurer un sur votre routeur?
Quel est le but d'une DMZ?
DMZ agit comme un bouclier entre l'Internet peu fiable et votre réseau interne.
En isolant les services les plus vulnérables face aux utilisateurs, tels que les serveurs de messagerie, Web et DNS, dans leur propre sous-réseau logique, le reste du réseau interne ou du réseau local (LAN) peut être protégé en cas de compromis.
Les hôtes à l'intérieur d'une DMZ ont une connectivité limitée au réseau interne principal car ils sont placés derrière un pare-feu intervenant qui contrôle le flux de trafic entre les deux points du réseau. Cependant, certaines communications sont autorisées afin que les hôtes DMZ puissent offrir des services au réseau interne et externe.
La principale prémisse derrière une DMZ est de la garder accessible depuis Internet tout en laissant le reste du LAN interne intact et inaccessible au monde extérieur. Cette couche de sécurité supplémentaire empêche les acteurs de la menace d'infiltrer directement votre réseau.
Quels services sont ajoutés à l'intérieur d'une DMZ?
Le moyen le plus simple de comprendre une configuration DMZ est de penser à un routeur. Les routeurs ont généralement deux interfaces:
- Interface interne: il s'agit de votre interface non accessible à Internet avec vos hôtes privés.
- Interface externe: il s'agit de l'interface Internet qui a votre liaison montante et votre interaction avec le monde extérieur.
Pour implémenter un réseau DMZ, il vous suffit d'ajouter une troisième interface appelée DMZ. Tous les hôtes accessibles directement depuis Internet ou nécessitant une communication régulière avec le monde extérieur sont ensuite connectés via l'interface DMZ.
Les services standard qui peuvent être placés dans une DMZ comprennent les serveurs de messagerie, les serveurs FTP, les serveurs Web et les serveurs VOIP, etc.
Une attention particulière doit être accordée à la politique générale de sécurité informatique de votre organisation et une analyse des ressources doit être effectuée avant la migration des services vers une zone démilitarisée.
La DMZ peut-elle être mise en œuvre sur un réseau domestique ou sans fil?
Vous avez peut-être remarqué que la plupart des routeurs domestiques mentionnent l'hôte DMZ. Dans le vrai sens du terme, ce n'est pas une vraie DMZ. La raison en est qu'une DMZ sur un réseau domestique est simplement un hôte sur le réseau interne dont tous les ports sont exposés à côté de ceux qui ne sont pas transférés.
La plupart des experts en réseau mettent en garde contre la configuration d'un hôte DMZ pour un réseau domestique. En effet, l'hôte DMZ est ce point entre les réseaux internes et externes qui ne bénéficie pas des mêmes privilèges de pare-feu que les autres périphériques du réseau interne.
En outre, un hôte DMZ à domicile conserve toujours la possibilité de se connecter à tous les hôtes sur le réseau interne, ce qui n'est pas le cas pour les configurations DMZ commerciales où ces connexions sont établies via des pare-feu séparés.
Un hôte DMZ sur un réseau interne peut fournir un faux sentiment de sécurité alors qu'en réalité, il est simplement utilisé comme méthode de redirection directe des ports vers un autre pare-feu ou périphérique NAT.
La configuration d'une DMZ pour un réseau domestique n'est nécessaire que si certaines applications nécessitent un accès permanent à Internet. Bien que cela puisse être réalisé grâce à la redirection de port ou à la création de serveurs virtuels, il arrive parfois que le fait de s'attaquer au nombre élevé de numéros de port le rend peu pratique. Dans de tels cas, la configuration d'un hôte DMZ est une solution logique.
Le modèle de pare-feu simple et double d'une zone démilitarisée
Les configurations DMZ peuvent être effectuées de différentes manières. Les deux méthodes les plus couramment utilisées sont le réseau à trois pattes (pare-feu unique) et un réseau avec deux pare-feu.
En fonction de vos besoins, vous pouvez opter pour l'une ou l'autre de ces architectures.
Méthode de pare-feu à trois pattes ou à un seul
Ce modèle comporte trois interfaces. La première interface est le réseau externe du FAI au pare-feu, la seconde est votre réseau interne et enfin, la troisième interface est le réseau DMZ qui contient divers serveurs.
L'inconvénient de cette configuration est que l'utilisation d'un seul et unique pare-feu est le point de défaillance unique pour l'ensemble du réseau. Si le pare-feu est compromis, l'ensemble de la zone démilitarisée tombera également en panne. En outre, le pare-feu doit être capable de gérer tout le trafic entrant et sortant à la fois pour la DMZ et le réseau interne.
Méthode de double pare-feu
Comme son nom l'indique, deux pare-feu sont utilisés pour concevoir cette configuration, ce qui en fait la plus sûre des deux méthodes. Un pare-feu frontal est configuré pour permettre au trafic de passer uniquement vers et depuis la zone démilitarisée. Le deuxième pare-feu ou le pare-feu principal est configuré pour ensuite transmettre le trafic de la zone démilitarisée vers le réseau interne.
Avoir un pare-feu supplémentaire réduit les chances que tout le réseau soit affecté en cas de compromis.
Cela vient naturellement avec un prix plus élevé, mais fournit une redondance en cas de panne du pare-feu actif. Certaines organisations s'assurent également que les deux pare-feu sont fabriqués par des fournisseurs différents pour créer plus d'obstacles pour les attaquants qui cherchent à pirater un réseau.
Comment configurer une DMZ sur votre routeur domestique
Le moyen le plus simple et le plus rapide de configurer un réseau DMZ à domicile consiste à utiliser le modèle à trois pattes. Chaque interface sera attribuée en tant que réseau interne, réseau DMZ et réseau externe. Enfin, une carte Ethernet à quatre ports dans le pare-feu terminera cette configuration.
Les étapes suivantes décrivent comment configurer une DMZ sur un routeur domestique. Notez que ces étapes seront similaires pour la plupart des principaux routeurs tels que Linksys, Netgear, Belkin et D-Link:
- Connectez votre ordinateur au routeur via le câble Ethernet.
- Accédez au navigateur Web de votre ordinateur et saisissez l'adresse IP de votre routeur dans la barre d'outils d'adresse. En général, l'adresse d'un routeur est 192.168.1.1. Appuyez sur la touche "Entrée" ou retour.
- Vous verrez une demande de saisie du mot de passe administrateur. Saisissez votre mot de passe que vous avez créé lors de la configuration du routeur. Le mot de passe par défaut sur de nombreux routeurs est "admin".
- Sélectionnez l'onglet "Sécurité" situé dans le coin supérieur supérieur de l'interface Web de votre routeur.
- Faites défiler vers le bas et sélectionnez la liste déroulante intitulée «DMZ». Maintenant, choisissez l'option de menu activer .
- Entrez l'adresse IP de l'hôte de l'ordinateur de destination. Cela peut être n'importe quoi comme un ordinateur de bureau distant, un serveur Web ou tout autre appareil qui a besoin d'accéder à Internet. Remarque: l'adresse IP à laquelle vous transférez le trafic réseau doit être statique car une adresse IP attribuée dynamiquement changera à chaque redémarrage de votre ordinateur.
- Sélectionnez Enregistrer les paramètres et fermez la console du routeur.
Protégez vos données et configurez une DMZ
Les consommateurs intelligents sécurisent toujours leurs routeurs et réseaux contre les intrus avant d'accéder à des réseaux externes. Une DMZ peut apporter une couche de sécurité supplémentaire entre vos précieuses données et les pirates potentiels.
À tout le moins, l'utilisation d'une zone démilitarisée et l'utilisation de conseils simples pour sécuriser vos routeurs peuvent rendre très difficile pour les acteurs de la menace de pénétrer votre réseau. Et plus il est difficile pour les attaquants d'accéder à vos données, mieux c'est pour vous!