3. Introduction
Les systèmes d'information sont aujourd'hui de plus en plus ouverts sur Internet.
Cette ouverture pose néanmoins un problème majeur dit aux attaques .
L’objectif de cet exposé est de présenter un des principaux moyens
de lutte contre les attaques à savoir la Zone démilitarisées(DMZ).
3Hassina3RT19/01/2013
4. Définition
Une DMZ est une zone qui contient des serveurs accessibles depuis Internet et bien sûr fait partir du
réseau local .
On retrouve généralement dans une DMZ les serveurs Web (HTTP), les serveurs de
messagerie (SMTP), les serveurs FTP etc....
19/01/2013 4Hassina3RT
6. Objectifs
- Le but est ainsi d’isoler les postes clients (du réseau LAN) de la zone de fourniture de services (DMZ).
- de les protéger contre les attaques provenant des réseaux extérieurs (internet).
- et rendre certains machines accessible depuis l'extérieur du réseau local .
19/01/2013 6Hassina3RT
7. Propriétés
- La zone démilitarisée est plus ouverte sur le réseau externe que le réseau interne.
- Les connexions à la DMZ sont autorisées de n’importe où.
- Les connexions à partir de la DMZ ne sont autorisées que vers
l’extérieur.
19/01/2013 7Hassina3RT
8. sécurité
L'installation de la DMZ ne pose pas de problème de sécurité .
en effet, toutes ses communications sont contrôlées et autorisées par un firewall.
19/01/2013 8Hassina3RT
9. Principe de fonctionnement
Une DMZ se réalise grâce à un pare-feu, ce dernier doit posséder 3 cartes réseaux, une
pour le réseau local, une pour internet et une pour la DMZ.
Il existe deux types de DMZ à savoir:
- la DMZ privée.
- la DMZ publique.
19/01/2013 9Hassina3RT
10. DMZ privée
Elle utilise dans son réseau des adresses IP privée.
c’est l’adresse IP de l’interface du serveur proxy qui est employée pour accéder aux serveurs.
19/01/2013 10Hassina3RT
11. DMZ public
Elle utilise dans son réseau des adresses IP publiques pour accéder depuis Internet aux serveurs
situés dans la DMZ publique on utilise l’adresse IP propre à chaque serveur.
19/01/2013 11Hassina3RT
13. Synoptique d’installation de DMZ
je présente ici un synoptique du paramétrage des autorisations à configurer sur un server proxy afin
que la DMZ publique soit efficace.
- Trafic du réseau externe vers la DMZ autorisé
- Trafic du réseau externe vers le réseau interne interdit
- Trafic du réseau interne vers la DMZ autorisé
- Trafic du réseau interne vers le réseau externe autorisé
- Trafic de la DMZ vers le réseau interne interdit
19/01/2013 13Hassina3RT
14. Préparation
- Installation d’un Server proxy
- Démarrage des services du serveur proxy
- Vérification de la configuration des serveurs.
19/01/2013 14Hassina3RT
15. Configuration
-Le routage IP :permet au serveur proxy de router les paquets IP entre ses interfaces
externes, cela permet de rendre la DMZ publique accessible depuis Internet.
-Les filtres de paquets: sont nécessaire afin de maitriser les requêtes provenant d’Internet vers les
serveurs de la DMZ publique .
19/01/2013 15Hassina3RT
16. Configuration (suite)
Dans la configuration des filtres le mieux est de choisir les deux options suivantes :
- Activer le filtrage des fragments IP afin de supprimer les paquets fragmentés.
- Activer le filtre des options IP afin d’empêcher de faire passer des paquets où les options ont été
modifiées dans le but de forcer le passage.
19/01/2013 16Hassina3RT
17. Conclusion
la DMZ est à l’heure actuelle une des principaux éléments intervenants dans la mise en place d’une
politique de sécurité.
son efficacité permet de réduire considérablement les attaques internes ou externes.
Cependant, les systèmes informatiques restent encore vulnérables aux attaques du fait, très souvent
d’une mauvaise configuration des serveurs proxy.
Il convient donc d’effectuer une mise à jour régulière de ses installations,
de prévention et ou de défense.
19/01/2013 17Hassina3RT
18. Référence
- "Cours de sécurité des systèmes informatiques " M.K Ulrich
- "Les systèmes de détection d'intrusions" David Burgermeister, Jonathan Krier
- www.google.fr
- www .commentcamarche.com
19/01/2013 18Hassina3RT