Une zone DMZ est elle suffisante ?
Neo.08
-
Neo.08 -
Neo.08 -
Bonjour à tous et à toutes,
Actuellement en stage, je souhaiterais mettre en place un acces sécurisé au ressource de l'entreprise via internet.
Le site permettant l'affichage des données serait sur un serveur WEB dans une DMZ tandis que les données proprement dites serait dans le réseau interne afin d'échapper à une éventuelle attaque.
Pensez vous que la mise en place d'une DMZ soit une mesure de sécurité suffisante ?
Merci d'avance
Actuellement en stage, je souhaiterais mettre en place un acces sécurisé au ressource de l'entreprise via internet.
Le site permettant l'affichage des données serait sur un serveur WEB dans une DMZ tandis que les données proprement dites serait dans le réseau interne afin d'échapper à une éventuelle attaque.
Pensez vous que la mise en place d'une DMZ soit une mesure de sécurité suffisante ?
Merci d'avance
8 réponses
Bonjour,
Tout dépend de la façon de faire.
Pour bien faire une DMZ il faut (au minimum) utiliser les fonctions suivantes :
- NAT pour masques les adresses réelles des machines
- Filtrage des échanges réseaux (Firewall de préférence).
Ensuite, pour renforcer tu peux :
- utiliser deux Firewalls différents entre Internet et le DMZ et entre la DMZ et la zone interne
- ajouter des sondes anti-intrusion
- ajouter des anti-virus de flux (dans le Firewall le plus souvent)
Et j'en oublie certainement ...
Espérant avoir aidé ...
Tout dépend de la façon de faire.
Pour bien faire une DMZ il faut (au minimum) utiliser les fonctions suivantes :
- NAT pour masques les adresses réelles des machines
- Filtrage des échanges réseaux (Firewall de préférence).
Ensuite, pour renforcer tu peux :
- utiliser deux Firewalls différents entre Internet et le DMZ et entre la DMZ et la zone interne
- ajouter des sondes anti-intrusion
- ajouter des anti-virus de flux (dans le Firewall le plus souvent)
Et j'en oublie certainement ...
Espérant avoir aidé ...
Oui, merci de ta réponse.
J'avais pensé à quelque chose comme
Internet / Firewall / DMZ / Firewall / Interne, mais effectivement je vais devoir prévoir d'utiliser du NAT quelque part.
Merci beaucoup en tout cas
J'avais pensé à quelque chose comme
Internet / Firewall / DMZ / Firewall / Interne, mais effectivement je vais devoir prévoir d'utiliser du NAT quelque part.
Merci beaucoup en tout cas
Le NAT pour Internet est indispensable.
Mais, je te conseil d'utiliser du NAT partout pour que les machines de la DMZ "pensent" communiquer avec des machines de la DMZ, du coup tu ne mets pas de route vers le réseau Interne, ce qui complique les attaques potentielles.
Du coup ça peut faire un truc du genre :
Internet
|
Firewall DMZ / Internet : NAT+ filtrage [+antivirus][+sonde] => aucune route vers le réseau Interne
|
DMZ => Default GW : FW Internet
|
Firewall DMZ / Interne : NAT + filtrage[+sonde]
|
Interne
L'idéal étant d'avoir des Firewalls de technologie différente ... là c'est le top.
Mais, je te conseil d'utiliser du NAT partout pour que les machines de la DMZ "pensent" communiquer avec des machines de la DMZ, du coup tu ne mets pas de route vers le réseau Interne, ce qui complique les attaques potentielles.
Du coup ça peut faire un truc du genre :
Internet
|
Firewall DMZ / Internet : NAT+ filtrage [+antivirus][+sonde] => aucune route vers le réseau Interne
|
DMZ => Default GW : FW Internet
|
Firewall DMZ / Interne : NAT + filtrage[+sonde]
|
Interne
L'idéal étant d'avoir des Firewalls de technologie différente ... là c'est le top.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je reviens à ma question, mais concrétement, comment met on en place une DMZ.
Si j'ai bien tout compris, il faut allouer des IPs d'un réseau different à mes serveurs afin d'isoler la DMZ de mon reseau local ?
Si j'ai bien tout compris, il faut allouer des IPs d'un réseau different à mes serveurs afin d'isoler la DMZ de mon reseau local ?
Exemple (c'est plus simple) :
Réseau local : différents sous-réreaux (VLANs) en 172.16.x.0/24
DMZ : 192.168.100.0/24
Les machines "internes" en 172.16.X.Y sont NATées pour communiquer avec la DMZ (NAT static si la DMZ communique avec les serveurs (à éviter le plus possible) et NAT dynamic dans le cas contraire.
Réseau local : différents sous-réreaux (VLANs) en 172.16.x.0/24
DMZ : 192.168.100.0/24
Les machines "internes" en 172.16.X.Y sont NATées pour communiquer avec la DMZ (NAT static si la DMZ communique avec les serveurs (à éviter le plus possible) et NAT dynamic dans le cas contraire.
