Bonjour, 

Il y a combien en général d'architectures DMZ ?

J'ai l'impression que les plus connus sont soit :

1) https://wiki.ipfire.org/configuration/firewall/rules/simple_dmz_network_v2a.png  le parefeu via un rôle de routeur sépare sur un autre réseau la dmz du LAN.Le but si j'ai bien compris c'est de mettre sur la dmz les serveurs nécessaires à l'extérieur du LAN , typiquement le serveur web, mail(pour l'es employés nomade à l'extérieur) (à distinguer du serveur mail interne qui est dans le LAN).
Le tout afin d'éviter de faire une redirection de nos serveurs en LAN vers l'exterieur .

Mais cette dmz est administré et protégé comment ? elle est administré en ssh depuis l'exterieur via vpn j'imagine ? et elle est protégé par le même pare feu qui protège également le LAN ? Ce sont en général des par feu applicatifs ?

2)une autre configuration de DMZ https://media.geeksforgeeks.org/wp-content/uploads/20220808192523/DemiltarizedZoneDMZ.png avec 2 pare feux et un routeur, j'ai l'impression que ça protège encore mieux les éventuels oublis de blocages. Après dans les deux cas si je comprends bien même un pare feu qui bloquerait la majorité des choses, il suffit qu'il laisse ouvert un port (obligatoire pour les serveurs ) avec un service/logiciel qui n'est pas à jour qui a une vulnérabilité(métasploit etc...) et l'attaquant pourra pénétrer.

• isolateand keep potential target systems separate from internal networks;
• reduce and control accessto those systems by external users; 
• host corporate resourcesto make some of them available to authorized external users.

oui donc c'est bien çà c'est principalement pour les employés nomades et les usagers/patients/clients/public + protéger encore + le LAN.

Bonjour,

On peut implémenter une DMZ de plusieurs manières différentes. L'architecture réseaux et sécurité est définie par un architecte qui doit évaluer les possibilités et définir la meilleur solution à mettre en oeuvre selon différents critères (le premier étant de respecter le cahier des charges technique).

La version avec deux pare-feu différents (de deux modèles/fabricants différents idéalement) est effectivement plus robuste et offre une meilleure sécurité globalement. Elle est aussi plus coûteuse, et plus lourde à maintenir.

Pour l'administration, on a le choix. En peut créer, par exemple, une enclave d'administration avec un serveur de rebond qui permet de se connecter aux différents serveurs de la DMZ pour les administrer. Quant à la mise en place de VPN ou l'utilisation de certains protocoles comme SSH, VNC, RDP etc... cela dépend du contexte.

Pour faire court, il n'y a pas de réponse définitive, il faut analyser le besoin et les résultats attendus, définir un cahier des charges, choisir une solution adaptée. C'est le travail d'un architecte de faire ces choix (dans les plus petites structures type TPE, PME, c'est le travail des administrateurs/ingénieurs réseaux et sécurité).

-
Edité par KoaTao 16 janvier 2023 à 18:02:42

KoaTao a écrit:

Bonjour,

On peut implémenter une DMZ de plusieurs manières différentes. L'architecture réseaux et sécurité est définie par un architecte qui doit évaluer les possibilités et définir la meilleur solution à mettre en oeuvre selon différents critères (le premier étant de respecter le cahier des charges technique).

La version avec deux pare-feu différents (de deux modèles/fabricants différents idéalement) est effectivement plus robuste et offre une meilleure sécurité globalement. Elle est aussi plus coûteuse, et plus lourde à maintenir.

Pour l'administration, on a le choix. En peut créer, par exemple, une enclave d'administration avec un serveur de rebond qui permet de se connecter aux différents serveurs de la DMZ pour les administrer. Quant à la mise en place de VPN ou l'utilisation de certains protocoles comme SSH, VNC, RDP etc... cela dépend du contexte.

Pour faire court, il n'y a pas de réponse définitive, il faut analyser le besoin et les résultats attendus, définir un cahier des charges, choisir une solution adaptée. C'est le travail d'un architecte de faire ces choix (dans les plus petites structures type TPE, PME, c'est le travail des administrateurs/ingénieurs réseaux et sécurité).

-
Edité par KoaTao hier à 18:02