[gull] [SPAM] Re: [SPAM] Re: Représentation DMZ, vos avis.
Daniel Cordey
dc at pxcluster.com
Tue Oct 7 11:16:46 CEST 2025
Le 06.10.25 à 07:46, Félix Hauri via gull a écrit :
> Merci Björn et Daniel,
>
> ...
> non. La plupart des représentation montrent 2 firewall, comme
> la proposition de Björn.
C'est un peu normal. La DMZ doit être une "zone" de confinement pour les
accès "extérieurs". On y met donc les services/serveurs qui doivent être
accessibles depuis internet. Par contre, comme on ne veut pas que la
section du réseau de la DMZ puisse être utilisée pour accéder au réseau
interne, on met un pare-feu en plus du switch. En effet, admettons que
quelqu'un arrive à compromettre l'un des serveurs de la DMZ, il a alors
accès aux adresses du réseau de la DMZ et pourrait ensuite passer par le
switch pour entrer dans le réseau interne. On peut mettre des règles
complexes dans le switch, mais il faut alors un switch un peu plus
évolué (level 3 et plus), ce qui est alors un deuxième pare-feu.
>
> Or je n'ai jamais installé 2 firewall!
Ce qui fait que tu n'as pas de DMZ. Tes serveurs ont alors accès à la
fois au réseau interne et à internet. Bien sûr, les services sont là
pour bloquer les accès au réseau interne, mais ce n'est pas une DMZ.
> Ou alors il s'agit d'un schéma de principe et les 2 firewall sont la même
> machine!?
Non, justement, on le fait avec deux machines séparées. Ceci garanti que
la compromission du premier pare-feu, n'engendrera pas forcément la
compromission du second. Avec une seule machine, si tu arrives à
compromettre celle-ci, tu as alors accès au réseau interne.
> ( Dans ce cas, c'est bien ce que j'ai un peu partout, mais il
> n'y a que très peu de règle de firewall qui concernent la DMZ!
La DMZ est un concept et il n'y a pas de règles établies la concernant.
Le concept doit être mis en place en utilisant les outils à disposition.
En mettant des services à disposition sur un des serveurs de la DMZ, on
s'assure que l'on restreint les accès uniquement à ces serveurs. Ceux-ci
vont alors réaliser la connexion vers les services se trouvant sur le
réseau interne ; tel que DB, etc.
> Essentiellement
> de redirections dnat. Et surtout, je n'appèlerais pas ça un mur de feu. )
Le NAT n'est qu'une composante des pare-feux. Les boîtiers fournis par
les ISP pour votre connexion internet sont des pare-feux, car ne
laissant rien passer venant d'internet (initié par eg: TCP). Ces
boîtiers permettent tous de faire du NAT; et ce sont bien des pare-feux.
>
> Je pense au contraire que DMZ signifie que cette zone n'est pas protégée
> et donc exposée.
La DMZ est une zone (un segment de réseau), dont l'un des côtés est
connecté à internet, et l'autre connecté au segment réseau de cette DMZ.
Ensuite, la connexion vers le réseau interne se fait au travers d'un
switch/pare-feu qui permet la connexion vers ce segment interne.
> L'endoit idéal pour installer des serveur publique et pourqoi pas
> un pot de miel.
C'est exactement ça. On met les serveurs dans cette DMZ, connectés à
internet et au réseau de la DMZ. Mais aucun de ces serveurs n'a de câble
connecté directement au réseau interne. Sinon ce n'est pas une DMZ.
D'ailleurs, il est juste de mettre le service VPN sur l'un de ces
serveurs, mais ce ne doit pas être une connexion sur un bash du serveur
sur lequel tourne ce service...Toutefois, la connexion VPN peut-être
utilisée pour permettre l'accès à certains services du réseau interne.
Vous pouvez aussi décider de permettre l'accès à un segment de votre
réseau interne, et avoir vos services sur ce segment uniquement... À
chacun de voir ce qui lui convient. Par exemple, on doit se poser la
question de savoir de quel côté mettre un serveur NextCloud/Seafile/etc.
L'accès à ce service doit se faire au travers de la connexion VPN, qui
permet d'accéder au service du serveur de fichier, qui lui se trouve sur
le réseau interne, et non dans l'un des serveurs de la DMZ. C'est la
même chose pour un serveur de DB privé. Aucune donnée privée ne doit
être stockée sur les serveurs de la DMZ; sinon cela revient à supprimer
la DMZ...
https://www.fortinet.com/fr/resources/cyberglossary/what-is-dmz
dc
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://forum.linux-gull.ch/pipermail/gull/attachments/20251007/f55fdc8c/attachment.html>
More information about the gull
mailing list