2. Plan ConceptdeDMZ DfinitionetPrincipe Adressage
Placementdesservices Besoin DMZmultiples Manipulation Mise en place
d'une DMZ - H. Magroun 2
3. ConceptdeDMZ Mise en place d'une DMZ - H. Magroun 3
4. Besoin Uneentreprise(ouunorganisme)abesoin
daccderdesressourcessurInternet,den exportermaisaussideseprotger
L'architecturedurseaudel'entrepriseest dfinieselonlesbesoins:
accder+protger accder+exporter+protger Mise en place d'une DMZ - H.
Magroun 4
5. :accder+protger Besoin Rseauinterne(priv):
Contientdesdonnesprives (exemple:s.BD,...) Rseauexterne(Internet):
Accslextrieur Considrpeupldevolonts malfaisantes Parefeu(firewall):
Rgle: RseauexterneNEDOITPAS accderaurseauinterne Mise en place
d'une DMZ - H. Magroun 5
6. Besoin Rseauinterne(priv): Contientdesdonnesprives
Contientdesdonnespublique (exemple:s.web) Accslextrieur
Rseauexterne(Internet): :accder+exporter+protger
Considrpeupldevolontsmalfaisantes Parefeu(firewall)
Rgle:Rseauexterneaccde auxdonnespubliquemaispas auxdonnesprives
Mise en place d'une DMZ - H. Magroun 6
7. Besoin :accder+exporter+protger PROBLEME:
unattaquantobtenantunaccssur unemachinecontenantdes
donnespubliquespeutattaquer partirdellesmachines
contenantdesdonnesprives Mise en place d'une DMZ - H. Magroun
7
8. Besoin :accder+exporter+protger SOLUTION:
Diviserlerseauinterneen2sousrseaux: Rseauinternet1:
Contientdesdonnespublique Rseauinternet2: Contientdesdonnesprives
Accslextrieur Parefeu: ...
Contrlerletraficentrelesrseauxinternes1et2 Mise en place d'une DMZ
- H. Magroun 8
9. Besoin :accder+exporter+protger SOLUTION:(suite)
unattaquantobtenantunaccs surunemachinecontenantdes
donnespubliquespeut attaquerpartirdeluneautre
machinecontenantdesdonnes publiquesmaispascelles
contenantdesdonnesprives C'estledcoupageenDMZ Mise en place d'une
DMZ - H. Magroun 9
10. Dfinitionetprincipe DMZ=DeMilitarisedZone (zonedmilitarise)
Dfinition: Unezonedmilitariseestunsousrseauisol
parunparefeu.Cesousrseaucontientdes machinessesituantentre:
unrseauinterne(rseaupriv)et unrseauexterne(Internet) Mise en place
d'une DMZ - H. Magroun 10
11. Dfinitionetprincipe DcoupageenDMZ:
1Rseauestdivisen3Rseauxou+ 1.Rseauinterne(rseaupriv):
Contenantlespostesclientsayantbesoindaccderlextrieur
Contientdesdonnesprivesquinedoiventpastreconsultes delextrieur
>besoindescuritinterne 2.Rseauexterne(Internet):
Considrpeupldevolontsmalfaisantes Mise en place d'une DMZ - H.
Magroun 11
12. Dfinitionetprincipe DcoupageenDMZ: 3.DMZ
Visibledurseauinterneetdurseauexterne Exemple:casdunrseaucontenant:
Unserveurweb: visibledelInternetetdesutilisateursinternes
UnepasserelleSMTP: accessibledespostesclientsetdesserveurs
SMTPdInternet >besoindevisibilitdelextrieur Mise en place d'une
DMZ - H. Magroun 12
13. Mise en place d'une DMZ - H. Magroun 13
14. Adressage AdressagedesserveursdelaDMZ:
Sparerlesdiffrentsrseauxenterme dadressageIP
treconomeentermedadressesIPpubliques 2solutions: SousrseauxIP
NAT/PAT Mise en place d'une DMZ - H. Magroun 14
15. Adressage: Solution1 CouperlaplagedadressesIPpubliquesen2
(pasforcmentgales) 1remoitiseraddielinterfacepubliquedu
filtredepaquets 2meauxmachinesdelaDMZ
Leparefeuestcapabledesparerlesdeux
rseauxensebasantsurleurmasquederseau
Cettesolutionpeutservlercoteuseentermes dadressesIP Mise en place
d'une DMZ - H. Magroun 15
16. Adressage: Solution2 NAT/PAT:
LesadressesIPpubliquessontaffectessur l'interfacepubliqueduparefeu
DMZ:adressageintranet Parefeu ServiceNAT:DMZversInternet
NAT:NetworkAdressTranslation ServicePAT:InternetversDMZ
PAT:PortAddressTranslation Mise en place d'une DMZ - H. Magroun
16
17. Placementdesservices Postesclients:rseauinterne
Serveurswebpublics:DMZ ServeurSMTP?
unrledemessagerieinterne:rseauinterne
Envoi/rceptiondecourriersvers/depuislInternet:DMZ ServeurDNS?
Rsolutiondesnomsdemachinesinternes:rseauinterne
RsolutiondesnomsdesmachinesInternet:DMZ Mise en place d'une DMZ -
H. Magroun 17
18. Placementdesservices: ServeurSMTP
Solution1:UNserveurdemessagerie leserveurestplacenDMZ
IlreoitetenvoielescourriersdirectementdelInternet
LespostesclientslisentleurcourrierviaPOP3ouIMAP
directementsurceserveur
Lamessagerieinternepassegalementparceserveur
Problme:lesmessageslectroniquesinternes
(donnesconfidentielles)sontstockssurun
serveurpotentiellementaccessibledelInternet Mise en place d'une DMZ
- H. Magroun 18
19. Placementdesservices: ServeurSMTP
Solution2:DEUXserveursdemessagerie leserveurdemessagerieestdupliqu:
unserveurdemessageriesurlerseauinterne:
sechargededlivrerlescourriersinternesetdeconserverles messages
IlrelaielescourriersdestinationdelInternetunserveurde
messagerieplacsurlaDMZ unserveurdemessagerieplacsurlaDMZ:
C'estleseulcommuniqueraveclInternet
RelaielescourriersenprovenancedelInternetauserveurdu rseauinterne
Mise en place d'une DMZ - H. Magroun 19
20. Placementdesservices: ServeurDNS Solution1:UNserveurDNS
leserveurestplacenDMZ: rpondreauxrequtesdelInternet
Autoritpourlesmachinesinternes
Problme:larsolutiondesnomsinternesest
assureparunserveurpotentiellementaccessible delInternet Mise en
place d'une DMZ - H. Magroun 20
21. Placementdesservices: ServeurDNS Solution2:DEUXserveursDNS
UnserveurDNSsurlaDMZ: rpondreauxrequtesdelInternet
UnautreserveurDNSdanslerseauInterne: Autoritpourlesmachinesinternes
PasseparleDNSpublicpourrsoudrelesnomsde machinesdelInternet. Mise
en place d'une DMZ - H. Magroun 21
22. DMZmultiples Certainscasdepartitionnementderseau
peuventfaireappelplusieursDMZ:
rendrepublicscertainsserveursmaisilnestpas
possibleentermedescuritdelesfaire cohabitersurlemmerseau:
serveursdesensibilitdiffrente
ilestparfoissouhaitabledeplacerlesservicesdu
rseauinternesuruneDMZinterne:
osetrouveraientlesserveursdemessagerie
interne,leDNSinterne,lannuaireLDAP,etc. Mise en place d'une DMZ -
H. Magroun 22
23. Conclusion Lascuritd'unsystmed'information
=unechanedemaillons Parefeu+dcoupageenDMZ =1maillondelachane
Lascuritdusystmed'informationdoittre abordedansuncontexteglobal
=ilfautpasngligerlesautresmaillons Mise en place d'une DMZ - H.
Magroun 23
24. Manipulation Miseenplaced'uneDMZ Mise en place d'une DMZ -
H. Magroun 24