Rôle de la DMZ (dans un exemple)

Fermé

Raikyn Messages postés 28 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 25 décembre 2015 - 9 oct. 2015 à 09:21
said - 27 janv. 2017 à 17:42

Bonjour,

Je suis en train de réviser l'architecture réseaux et j'ai une question concernant un exemple d'architecture.

La première chose que je ne comprend pas ici, c'est le rôle de la DMZ ici (enfin d'après le schéma on dirait qu'il y en a 2 ?).
Je pensais que la DMZ était entre les pare-feu. Or ici la zone est après le 1er pare-feu.

Auriez-vous des explications à me proposer ? Je suis encore très novice en la matière donc peut-être que c'est évident ^^'

Merci d'avance.

A voir également:

3 réponses

Réponse 1 / 3

brupala Messages postés 110693 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 20 décembre 2024 13 870
9 oct. 2015 à 10:19

Salut,
l'architecture de ton exemple est un peu bizarre effectivement.
Une DMZ est un ensemble de machines (quelquefois une seule) facilement accessibles depuis l'extérieur ainsi que depuis l'intérieur, mais qui ont elles mêmes difficilement accès à l'intérieur. En somme, elles sont plus à l'extérieur qu'à l'intérieur.
Dans l'exemple,
je n'aurais pas mis le serveur dns dans ce qu'ils appellent la DMZ admin, qui serait en fait l'inverse d'une DMZ:
un ensemble de machines qui peuvent accéder à tout, mais qui sont inaccessibles du reste.
Le dns, si c'est un domaine public, devrait être en DMZ, si c'est un domaine privé, avec les serveurs.

Raikyn Messages postés 28 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 25 décembre 2015
9 oct. 2015 à 12:41

Merci pour la réponse.
Est-ce qu'on pourrait rassembler ces deux DMZ et les mettre avant le firewall 1 ? Je ne sais pas si le serveur DNS doit être public ou non par contre, ce n'est pas indiqué dans l'exercice.
Mais si on fait comme ça, le firewall 2 est inutile non ?

brupala Messages postés 110693 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 20 décembre 2024 13 870 > Raikyn Messages postés 28 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 25 décembre 2015
9 oct. 2015 à 13:28

bah non, le firewall 2 n'est pas inutile, il sert à filtrer l'accès aux serveurs entre les admins et les utilisateurs, je pense.
sinon, comme je disais plus haut,
il ne faut surtout pas fusionner la DMZ admin et l'autre: la DMZ admin, c'est le contraire d'une DMZ !!

Raikyn Messages postés 28 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 25 décembre 2015
9 oct. 2015 à 14:00

Hmm d'accord, donc si "DMZ admin" c'est l'inverse d'une DMZ pourquoi l'avoir appelé ainsi?

Si on veut des appareils qui puissent se connecter à tout le sous réseaux sans qu'on puisse y accéder depuis l'intérieur du sous réseaux, on fait comme sur le schéma ? Je ne trouve pas d'autres exemple avec ce genre de zone "DMZ admin"

C'est ton exercice, pas le mien.
Je te dis ce que j'en pense puisque tu nous le demandes, le reste, on s'en fout.
Et non,
on n'est pas obligé de faire comme sur le schéma,
par contre qu' un firewall comporte une zone spéciale admin (pas DMZ), oui, c'est plutôt bon.
La hiérarchie des zones, si c'est la question:
niveau 0: l'internet
niveau 1: la DMZ
niveau 2: les serveurs
niveau 3: les utilisateurs
niveau 4: les admin
avec les règles de base:
chaque niveau peut établir une communication avec les niveaux inférieurs, mais pas avec les niveaux supérieurs.
Ceci pouvant être réalisé sur le même firewall.
Le matériel réseau est dans la zone des admin.

Raikyn Messages postés 28 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 25 décembre 2015
9 oct. 2015 à 15:03

Ok merci, je comprend mieux.

Réponse 2 / 3

kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
Modifié par kelux le 9/10/2015 à 17:21

Hello,

DMZ , au sens large est une zone publique où l'on va publier des ressources accessibles depuis l'extérieur.

Je pense que la nomenclature "DMZ Admin" est biaisée, car elle ne publie pas de choses sur le net comme l'a suggérée Brupala.
A mon sens le serveur DNS : il faut le qualifier, si c'est juste un relai DNS, ça va.... si il publie c'est autre chose, il n'a rien à faire à coté des serveurs de logs...

C'est très bien d'avoir séparé cette zone Admin, mais ce n'est pas une DMZ.
Pour les LANs client et serveur, la disposition du Firewall2 est discutable; mais ça reste cohérent.

Il y a d'autres montages avec la DMZ qui est mise en tampon entre 2 Firewalls.

http://i.stack.imgur.com/YxOrI.png

Ici un exemple avec 2 DMZs : http://www-10.lotus.com/ldd/stwiki.nsf/4E353F1DD5C2C3EC852578AF00184FC1/$file/plan_topol_gw_dualdmz2.jpg

Avec 2 DMZ, on a généralement une applicative et une autre "Internet".
On a souvent ce type de topologie dans les grosses infras qui nécessitent plus de sécurité.

On fait des "ruptures protocolaires" entre Internet et les DMZ, puis des DMZ vers le LAN (backend).
Le fait de séparer avec ces DMZ , permet de séparer les flux Applicatifs des flux d'accès.

Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....

Raikyn Messages postés 28 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 25 décembre 2015
9 oct. 2015 à 17:49

Merci pour ces infos.
Un flux applicatif c'est quoi exactement ?

kelux Messages postés 3074 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 432
9 oct. 2015 à 18:38

Dans le cas des architectures à plusieurs Tiers ("3 tiers" généralement) :
- les serveurs frontaux : présentent une "page web"
- les serveurs applicatifs : ils font tourner l'application.
- les serveurs en backend : généralement des serveurs de base données (type SQL ou même des annuaires)

Les flux applicatifs caractérisent les flux de l'application après le premier tiers. Ces flux là le client ne les voit pas, ce sont des flux propres à l'application en question et généralement se font entre "les serveurs".

Raikyn Messages postés 28 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 25 décembre 2015
9 oct. 2015 à 23:17

Merci !

Réponse 3 / 3

Jean
9 oct. 2015 à 14:51

Salut,

La DMZ est derrière le pare feu, ou à côté, en clair elle s'en " libère ", derrière une box elle révèle tous les ports ouverts ou fermés de l'IP locale sur laquelle elle est activée, ce qui veut dire que si ton pare feu de box est désactivé, tu es à poil si le pare feu de ton PC est mal réglé.

brupala Messages postés 110693 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 20 décembre 2024 13 870
Modifié par brupala le 9/10/2015 à 15:11

Sur une box,
c'est autre chose que sur un firewall,
la dmz c'est juste une adresse ip qui va recevoir toutes les connexions entrantes que le nat statique ne gère pas, la poubelle, quoi.
mais ça peut être pratique pour du P2P ou un VPN.
IL faut effectivement un bon firewall sur une machine mise en DMZ (du moins si elle est sous windows).

Raikyn Messages postés 28 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 25 décembre 2015
9 oct. 2015 à 15:08

D'accord, le firewall 1 c'est donc le pare feu du routeur ici ? On peut dire que ça sert à empêcher les appareils du sous réseaux à accéder aux appareils de la DMZ (entre autre)?

Jean > brupala Messages postés 110693 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 20 décembre 2024
9 oct. 2015 à 15:09

Sous Linux, pas trop vu de différence, surtout si UFW/GUFW n'est pas activé.

Jean > Raikyn Messages postés 28 Date d'inscription mercredi 4 novembre 2009 Statut Membre Dernière intervention 25 décembre 2015
Modifié par Jean le 9/10/2015 à 15:16

Le pare feu du routeur protège de l'extérieur ( internet ), la DMZ permet à l'extérieur d'accéder directement à un ou plusieurs PC, on voit les ports, ouverts, fermés, filtrés, ou pas.

DMZ = DANGER.

Attention,
il faut dissocier les zones d'un firewall avec les réseaux IP.
ça peut correspondre,
mais pas forcément, un firewall n'est pas nécessairement un routeur.
Non, la DMZ n'est pas empêcher les machines du réseau protégé à accéder aux machines de la DMZ, mais l'inverse:
que la DMZ ne puisse pas accéder au réseau protégé, mais que le réseau protégé accède à la DMZ et à l'internet.

Discussions similaires

DMZ Bbox

A quoi sert le DMZ?

ip DMZ

dmz publique ou privée

configuration d'un DMZ

comment créer ma DMZ ?