DMZ

Un article de Just-Wiki.

Zone démilitarisée (DeMilitarized Zone). En informatique, une DMZ désigne une partie du réseau local séparée du LAN. Cette zone tampon étant "à découvert", d'accès facile et public, les machines situées en DMZ sont particulièrement exposées aux attaques mais évitent ainsi que le LAN soit pris pour cible.

Une machine placée en DMZ est constamment soumise à des attaques ou à des tentatives d'intrusion. Rien de vital n'y étant stocké, les dégâts sont ainsi très limités. Mais quelle que soit son utilité, une machine située en DMZ doit impérativement disposer d'un firewall efficace ainsi que d'une "surface d'attaque" la plus réduite possible en termes de fonctions, services et accès... ceci combiné à un renforcement des couches réseau et une surveillance permanente des intrusions réseau.

On trouve plusieurs types de DMZ. Les trois plus courantes sont:

- un routeur adsl ou câble permettant de définir une adresse IP du LAN comme devant recevoir par défaut tout le traffic entrant (et qui ne sera pas du tout protégée par le routeur). Ce n'est en fait qu'une adresse-défouloir servant de DMZ virtuelle car la machine est située sur le même segment réseau que le reste du LAN. Si cette machine est compromise, le LAN devient un gruyère;

- un routeur/firewall disposant de trois interfaces réseau, une pour le WAN, une pour la DMZ et une pour le LAN, chacune sur un plan d'adressage IP distinct - la DMZ est dans ce cas partiellement protégée par le routeur (les distributions Linux de type IPCOP créent ce genre de topologie, entre autres);

- une zone située entre deux routeurs/firewalls, le routeur E est connecté à l'Internet et donne accès à la DMZ, le routeur S placé en sortie de DMZ donne accès au LAN - la DMZ est alors partiellement protégée par le routeur E et le LAN est protégé successivement par la DMZ puis par le routeur S;


Forum Neuf - Neuf Forum