Mise en place d'un IDS en utilisant Snort( Télécharger le fichier original )par Hamzata Gueye Miage kenitra - Licence en informatique et reseau 2010 |
II.6.3.4. DMZ (demilitarized zone)II.6.3.4.1. Notion de cloisonnementLes systèmes pare-feu permettent de définir des règles d'accès entre deux réseaux. Néanmoins, dans la pratique, les entreprises ont généralement plusieurs sous-réseaux avec des politiques de sécurité différentes. C'est la raison pour laquelle il est nécessaire de mettre en place des architectures de systèmes pare-feux permettant d'isoler les différents réseaux de l'entreprise : on parle ainsi de « cloisonnement des réseaux » (le terme isolation est parfois également utilisé). II.6.3.4.2. Architecture DMZFigure 7 : Architecture d'une DMZ Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de « zone démilitarisé » (notée DMZ pour Demilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public. La DMZ fait ainsi office de « zone tampon » entre le réseau à protéger et le réseau hostile. La figure ci-dessous montre la position d'une DMZ au sein d'un réseau. Les serveurs situés dans la DMZ sont appelés « bastions » en raison de leur position d'avant-poste dans le réseau de l'entreprise. La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante : Trafic du réseau externe vers la DMZ autorisé ; Trafic du réseau externe vers le réseau interne interdit ; Trafic du réseau interne vers la DMZ autorisé ; Trafic du réseau interne vers le réseau externe autorisé ; Trafic de la DMZ vers le réseau interne interdit ; Trafic de la DMZ vers le réseau externe interdit. La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation n'est pas suffisant pour y stocker des données critiques pour l'entreprise. Il est à noter qu'il est possible de mettre en place des DMZ en interne afin de cloisonner le réseau interne selon différents niveaux de protection et ainsi éviter les intrusions venant de l'intérieur. |
|