[gull] Représentation DMZ, vos avis.

Marc SCHAEFER schaefer at alphanet.ch
Wed Oct 8 11:42:05 CEST 2025 

Salut,

On Mon, Oct 06, 2025 at 07:46:20AM +0200, Félix Hauri via gull wrote:
> non. La plupart des représentation montrent 2 firewall, comme
> la proposition de Björn.

Tout à fait.

> Or je n'ai jamais installé 2 firewall!

Mais tu as installé un firewall, avec 3 interfaces réseau?

Mettre réellement deux firewalls peut avoir parfois un avantage, genre
deux firewalls de constructeurs différents, n'auront pas forcément les
mêmes bugs. Mais cela complique la gestion, donc c'est rare à ma
connaissance aujourd'hui.

> n'y a que très peu de règle de firewall qui concernent la DMZ! Essentiellement
> de redirections dnat. Et surtout, je n'appèlerais pas ça un mur de feu. )

Il se peut (il se doit?) que les règles soient plus ouvertes depuis
l'interne que depuis Internet.  Et que le DMZ ne puisse pas de sa propre
initiative entrer dans le réseau interne (uniquement répondre à des
requêtes -- statefull / connection tracking).

A ce sujet, il faut faire attention au NAT/PAT et aux trous automatiques
dans le firewall: dans certains cas, il est possible de convaincre les
machines internes de faire des requêtes qui vont trop ouvrir.  Ou des
attaques liées à des changements rapides d'adresses IP externes/internes
sur le DNS.

Et vu que tu as mis un honeypot dans ton DMZ, il faut, si l'objectif
est de n'avoir que des alarmes rares, bloquer l'accès au honeypot depuis
Internet, mais autoriser depuis les autres machines du DMZ, voire du
réseau interne. Quand ça sonnera, c'est qu'une machine du DMZ ou du
réseau interne aura été piratée.  Alternative: ton honeypot sert
à bloquer des adresses IP (avec éventuel report à AbuseIPdb p.ex. [1]),
dans ce cas, oui, le laisser totalement ouvert. Mais alors je ne le
mettrais pas dans le "même" DMZ et je le bétonnerais autour, pour
éviter qu'en cas de bug dans l'honeypot des attaques transitives
(déplacement latéral) soient possibles.  Donc une 4e interface
réseau (réelle ou virtuelle).

Ou tu peux aussi mettre ton pot de miel dans le réseau interne,
ça détectera une attaque arrivée dans le réseau interne.

> Je pense au contraire que DMZ signifie que cette zone n'est pas protégée
> et donc exposée.

a) certains services sont ouverts, mais surveillés
      exemple: réception SMTP d'e-mail

b) d'autres sont réservés au réseau interne

      exemple: modification du serveur web externe

c) d'autres sont fermés et accessibles uniquement d'un réseau
   d'administration, voire uniquement de la console dans les
   cas paranoïaques (attention au déni de service ...)

      exemple: interface d'administration (y.c. SSH)

En ce qui me concerne, p.ex., dans le DMZ et le réseau interne j'ai
une détection d'intrusion en plus (IDS Suricata) d'analyse centralisée
des logs.

En conclusion, je préfère le schéma à 2 firewalls, en général, ou
éventuellement un firewall à 3, voire 4 interfaces (réseau admin).

[1] https://www.abuseipdb.com/user/42539
    il y a du vrai (parsing centralisé de logs, IDS) et du
    honeypot

More information about the gull mailing list