[Reseau]Definition du terme "DMZ"

Le terme DMZ a toujours designe - pour moi - un reseau interne a une entreprise, protege par un firewall, dont les serveurs sont equipes d’adresses IP publiques. C’est ce que j’ai appris en reseau et c’est ce que j’ai continue d’apprendre a mes stagiaires.

Or il semble que le terme ait change de sens:
_wikipedia
Ce qui est explique la est bettement du reseau prive avec redirections de ports

par contre, sur ce site, le texte n’est pas claire puisqu’il se contredit ou raconte des trucs zarb:

puis

Je pige pas la phrase a la fin qui se traduirait (d’apres ce que j’ai pige)

Y a un truc que je pige pas…

Enfin, ce texte la me parait nettement plus proche de l’idee que je me fait d’une dmz:
reseau prive—>routeur/fw–>DMZ–>router/fw–>Internet

Avec un proxy cache dans la dmz par exemple.

L’autre solution technique de la dmz (moins secure ceci dit) est:

DMZ | | reseau->Firewall->internet prive
En fait, le meme schema que celui de wikipedia mais avec des IP publics pour la dmz (et pas du portforwarding)

La plupart des stagiaires que j’ai eu pensent a la solution wikipedia quand on evoque une DMZ, et moi plutot le dernier lien.
Votre avis?

LoneWolf
Comment definir un terme technique…

Ici on fonctionne un peu différement :

DMZ --------------|----------| | Firewall |----- Internet Réseau local ----|----------|

Le firewall/router possède 2 ports UTP, un renvoie tous les ports utiles de l’IP publique vers la DMZ qui est isolée du réseau local qu’on autorise surtout à surfer. Le firewall est déclaré en passerelle pour atteindre le range IP de la DMZ donc tout transfer entre le réseau local et la DMZ est protégé et la DMZ est également protégée de l’éxtérieur.

Moi ce que j’en au compris (j’ai juste assisté mon boss qui a mis ca en place) :
Une DMZ c’est une zone démilitarisée comme on appelle ca. Ca sert à ouvrir une machine vers le monde extérieur tout en protégeant le reste de ton réseau. Utiles pour un serveur mail ou un serveur web par exemple

Donc en gros : je suis d’accord avec Wikipedia, sinon ta DMZ est une cible statique ouverte à toutes les attaques!

Tu fais comment si tu veux mettre deux serveur web physique dans ta maniere de faire?

LoneWolf
Ca va poser probleme… B)

Ils ont 2 IP publiques, donc 2 Firewalls que tu relies sur ton réseau local de la même maniere. Ou si ils ont la même IP publique, tu diriges un port vers un serveur et l’autre port vers un autre dans la DMZ B)

Ip publique ou pas, ça change rien à la définition d’une DMZ.
Après, c’est juste la manière pour accéder aux serveurs dans la DMZ qui change.

J’avoue que j’ai du mal à voir sur quoi vous vous battez.

Oui je suis du meme avis de PR7.
une DMZ sert à isoler un serveur mail / Web / Extranet.

Apres comment acceder à la DMZ chacun à son truc preferé.
C’est plus une philosophie.

On se bat pas, il pose une question de fonctionnement B)

[quote=“pr7, post:5, topic: 45721”]Ip publique ou pas, ça change rien à la définition d’une DMZ.
Après, c’est juste la manière pour accéder aux serveurs dans la DMZ qui change.

J’avoue que j’ai du mal à voir sur quoi vous vous battez.[/quote]
sisi ca change tout.

C’est pas du tout pareil de laisser passer le port 80 dans un sous reseau publique que de faire du portforwarding dans un reseau prive.

De plus, le sens meme de DMZ n’existe plus dans la cas du portfoward puisque l’essence meme de la DMZ est de creer une zone tampon entre internet et un reseau local, dans laquelle on peut eventuellement mettre des serveurs publique (mais on est pas oblige).

Donc, je precise bien; POUR MOI, c’est different, c’est deux “techniques reseaux” qui ont des avantages et des inconvenients. J’ai pose la question de la definition de DMZ dans le monde reseau, pas de savoir quelle solution est la meilleure.

En tout cas, je note un concensus des gens ayant repondu, pour vous, “dmz”, c’est un fourre tout global dans lequel on peut avoir des serveurs a ip publique ou a portforwarding, c’est blanc bonnet et bonnet blanc (ce sur quoi je ne suis pas d’accord techniquement mais c’est un autre debat, mon soucis est de definir DMZ, merci d’avance)

LoneWolf
C’est plus complique que je croyais a definir…

Dans mon nouveau job, la dmz est appliqué au premier sens du terme
A l’intérieur du firewall, les applications pour lesquels on a une sécurité dite ‘militaire’ a l’extérieur, ce qui est accessible au ‘public’.
Nous avons des connections réseaux en dmz et a l’intérieur du firewall
Les user qui veulent se connecter a une appli sécurisée, passe le firewall via une clef rsa
Et les données sur les serveurs en dmz sont copiée en temps réel depuis les serveurs sécurise (via un système de push)

En bref : dmz = zone démilitarisée : qui ne répond pas au critère de sécurité militaire

Disons que dans la théorie, selon moi, il y a effectivement un serveur DMZ. Cet ordinateur fonctionne comme un proxy “entrant”, et si il pète… bah tant pis c’est pas grave, on a prévu des procédures pour le remettre en place super vite. Utilité ?

  • Bah s’il est piraté, c’est pas très grave, ça donne juste accès au réseau interne
  • on peut mettre des sondes pour faire sauter toute connexion de ou vers le serveur DMZ si une intrusion est détectée (et c’est assez facilement détectable globalement, car on sait ce qu’elle est autorisée à faire, alors qu’un pirate qui aurait pris le contrôle du serveur va tâtonner pour chercher les failles… genre un scan de ports, un broadcast IP, etc).

Problème : c’est un SPOF (Single Point Of Failure) pour l’ensemble de la DMZ qui est derrière. Autrement dit pour un WebMarchant, c’est un noeud central qui, si il pête, bloque tout. On pourrait croire qu’il suffit de mettre en place des protocoles de load-balancing pour que ça ne soit plus un SPOF, mais si un pirate prend la main sur l’un des serveurs DMZ, il pourrait tout aussi bien faire dévier le load-balancing et réaliser ainsi une attaque DOS (Deny Of Service).

Reste que si ça vous arrive, c’est qu’on vous en veut à vous, et qu’un admin pourra toujours exclure le serveur définitivement du load-balancing (et l’éteindre physiquement) pour retrouver un état à peu près fonctionnel. De toutes façons, il y a de bonnes chances que tous vos serveurs DMZ utilisent la même config, le même proxy, le même OS, et donc les mêmes failles B) Alors si a pu avoir accès à l’un des serveurs DMZ, il trouvera le moyen d’accéder aux autres !

Edit : euh… ça c’est la théorie hein. Je l’ai jamais vraiment vu fait comme ça dans les entreprises que j’ai visité. C’est toujours un firewall un peu balèze qui fait office de proxy DMZ.

Pour moi c’est ca une dmz :

car ne pas avoir de serveur dans une DMZ, je ne vois pas l’utilité de celle ci.

c’est ce que tu as dit. Tu devrais rajouter un second reseau interne à une entreprise .
C’est bien ce que tu voulais dire ?

[quote=“silka, post:11, topic: 45721”]c’est ce que tu as dit. Tu devrais rajouter un second reseau interne à une entreprise .
C’est bien ce que tu voulais dire ?[/quote]
oui oui mais l’existance meme de la DMZ n’implique pas celle du reseau local

Dans ton schema - meme si ca n’a pas vraiment de sens - on peut parfaitement retirer “firewall interne” et tout ce qui suit a droite et on aura quand meme une dmz - une zone ou seul certains acces sont autorises.

LoneWolf
Enfin si on est que 2 a voir ca comme ca… B)

bah toi tu veux remplacer le firewall interne par un simple routeur ?
Je dis non, car on sait pertinament, qu’il faut certains accés direct vers l’exterieur. Sans passer par une DMZ.

Mais on peut en effet supprimer la la liaison : firewall interne vers le pare feu externe.
et ne passer que par la DMZ.

La DMZ est un reseau isolé à la fois de l’interne et de l’externe. Et c’est tout

Après ip privé, port forwarding, NAT etc ne sont que des artifices pour palier un manque d’ip publiques et non pas des mesures de sécurité.

Un serveur Citrix ou terminal serveur trouve sa place naturelle dans une DMZ. Pour un serveur de messagerie, je serais plus réservé, mais c’est un usage courant.

Après, on peut couper la liaison réseau et laisser passer que le flux applicatif. Encore d’un pirate aura vite fait de rétablir le routage une fois la main prise sur le serveur (voire ça lui servira à rien)