Glossaire

Réseau DMZ

Qu'est-ce qu'une zone démilitarisée (DMZ) ?

En sécurité informatique, une zone démilitarisée (ou DMZ) fait référence à un sous-réseau qui héberge les services exposés et accessibles de l'extérieur d'une entreprise. Elle agit comme une zone tampon avec les réseaux non sécurisés tels qu'Internet.

Les DMZ ont pour objectif de renforcer le niveau de sécurité du réseau local de l'entreprise. Dans ce système, un nœud de réseau protégé et surveillé, tourné vers l'extérieur, a accès aux éléments exposés au sein de la zone dématérialisée tandis que le reste du réseau est protégé par un pare-feu.

Lorsqu'elles sont correctement mises en œuvre, les DMZ aident les entreprises à détecter et corriger les failles de sécurité avant qu'elles n'atteignent le réseau interne, où sont stockées les ressources les plus précieuses.

Objectif des zones démilitarisées

Les DMZ visent avant tout à protéger les hôtes les plus exposés aux attaques. Parmi ces hôtes, on trouve généralement des services accessibles aux utilisateurs en dehors du réseau local, tels que la messagerie, les serveurs Web et les serveurs DNS. En raison de leur vulnérabilité, ceux-ci sont placés dans un sous-réseau surveillé, afin que le reste du réseau soit protégé en cas d'attaque.

Les hôtes hébergés dans la DMZ peuvent uniquement posséder des autorisations d'accès extrêmement restreintes aux autres services du réseau interne, car le niveau de sécurité des données transmises dans cette zone fait parfois défaut. Par ailleurs, les communications entre les hôtes hébergés dans la DMZ et le réseau externe sont également limitées afin d'étendre autant que possible cette zone tampon. Cette pratique permet aux hôtes situés dans le réseau protégé d'interagir avec les réseaux interne et externe tandis que le pare-feu se charge de répartir et de gérer le trafic partagé entre la DMZ et le réseau interne. En général, un pare-feu complémentaire sera utilisé pour protéger la DMZ de toute menace émanant du réseau externe.

Tous les services accessibles aux utilisateurs depuis un réseau externe devront être placés dans la zone DMZ. Parmi les services les plus souvent rencontrés, on retrouvera :

  • Les serveurs Web : les serveurs Web utilisés à des fins de communication avec un serveur de base de données interne peuvent être placés dans une DMZ afin de protéger la base de données interne, qui contient généralement des informations sensibles. Les serveurs Web peuvent alors interagir, directement ou par l'intermédiaire d'un pare-feu pour applications, avec le serveur de base de données interne tandis que leur sécurité est assurée par la DMZ.
  • Serveurs de messagerie : les e-mails ainsi que la base de données utilisateur qui accueille les informations d'identification et les messages personnels sont généralement stockés sur des serveurs dépourvus d'accès direct à Internet. C'est pourquoi les serveurs de messagerie sont généralement construits ou placés dans la DMZ, afin qu'il soit possible d'accéder à la base de données de messagerie et d'interagir avec sans qu'elle ne soit directement exposée à un trafic susceptible de représenter un danger.
  • Serveurs FTP : ce type de serveur peut héberger des contenus sensibles sur le site Web d'une entreprise tout en permettant une interaction directe avec les fichiers. Les serveurs FTP doivent donc être partiellement isolés des systèmes internes critiques.

Si les DMZ offrent une sécurité supplémentaire contre les attaques externes, elles ne protègent toutefois pas des attaques internes comme les attaques par reniflage via un analyseur de paquets ou le spoofing par e-mail.

Conception d'un réseau avec une DMZ

Il existe de multiples façons de concevoir un réseau intégrant une zone démilitarisée. Deux méthodes sont fréquemment employées : l'utilisation d'un pare-feu unique (parfois appelé « pare-feu à trois interfaces ») et l'utilisation de deux pare-feux. Chacun de ces systèmes peut être étendu afin de créer des architectures complexes répondant aux exigences du réseau :

  • Pare-feu unique : une approche plus modeste de l'architecture réseau consiste à utiliser un pare-feu unique incluant au moins trois interfaces réseau. La zone démilitarisée sera alors placée à l'intérieur de ce pare-feu. Son fonctionnement est le suivant : le périphérique réseau externe établit la connexion à partir du FAI, le réseau interne est connecté par le deuxième périphérique, puis les connexions établies dans la DMZ sont gérées par le troisième périphérique réseau.
  • Deux pare-feux : l'approche la plus sécurisée consiste à utiliser deux pare-feux pour créer la DMZ. Le premier pare-feu (appelé pare-feu « frontal ») est configuré de façon à n'autoriser que le trafic destiné à la DMZ. Le second pare-feu (appelé pare-feu « principal ») est uniquement responsable du trafic entre la DMZ et le réseau interne. Pour renforcer le niveau de protection, il est possible d'utiliser des pare-feux développés par deux fournisseurs distincts, qui seront alors moins susceptibles de présenter les mêmes vulnérabilités. S'il est plus performant, ce modèle peut toutefois s'avérer plus coûteux à mettre en œuvre dans un réseau étendu.

Dans quelle mesure les DMZ sont-elles importantes ?

Dans de nombreux réseaux domestiques, les périphériques connectés à Internet sont construits autour d'un même réseau local, qui accède à Internet à partir d'un routeur haut débit. Ce routeur sert alors à la fois de point de connexion et de pare-feu, automatisant ainsi le filtrage du trafic afin de garantir que seuls les messages sécurisés pénètrent dans le réseau local. Dans un tel réseau, une zone démilitarisée peut être construite en ajoutant un pare-feu dédié qui isolera le réseau local du routeur. Quoique plus onéreuse, cette structure peut permettre de protéger les périphériques internes des attaques extérieures complexes.

Les DMZ sont un composant essentiel de tout système de sécurité des réseaux et permettent de protéger les utilisateurs individuels comme les grandes entreprises. Ces zones offrent un niveau de protection supplémentaire en restreignant l'accès distant aux serveurs et aux informations internes, dont la violation serait particulièrement préjudiciable.

En savoir plus sur les DMZ

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Barracuda CloudGen Firewall et Barracuda Email Security Gateway vous permettront d'utiliser les DMZ pour renforcer la sécurité de votre réseau. En isolant votre réseau ou serveur de messagerie de tout accès direct à Internet, ces solutions sont en mesure d'identifier et de lutter efficacement contre les menaces avancées avant que celles-ci ne nuisent à vos utilisateurs.

Des questions sur les zones démilitarisées ? Contactez-nous dès maintenant !