DMZ (réseau)

Dans les réseaux informatiques, une DMZ (zone démilitarisée), aussi parfois appelée réseau périphérique ou sous-réseau blindé, est un sous-réseau physique ou logique qui sépare un réseau local (LAN) interne d’autres réseaux non fiables — généralement l’Internet public. Les serveurs, ressources et services tournés vers l’extérieur sont situés dans la DMZ. Ils sont donc accessibles depuis l’Internet, mais le reste du réseau local interne reste inaccessible. Cela fournit une couche de sécurité supplémentaire au LAN, car cela limite la capacité d’un pirate à accéder directement aux serveurs et aux données internes via Internet.

Tout service fourni aux utilisateurs sur l’Internet public devrait être placé dans le réseau DMZ. Parmi les plus courants de ces services figurent les serveurs web et les serveurs proxy, ainsi que les serveurs de courrier électronique, le système de nom de domaine (DNS), le protocole de transfert de fichiers (FTP) et la voix sur IP (VoIP).

Les pirates informatiques et les cybercriminels du monde entier peuvent atteindre les systèmes exécutant ces services sur les serveurs DMZ, qui doivent être durcis pour résister aux attaques constantes. Le terme DMZ vient de la zone tampon géographique qui a été mise en place entre la Corée du Nord et la Corée du Sud à la fin de la guerre de Corée.

Architecture des DMZ de réseau

Il existe différentes façons de concevoir un réseau avec une DMZ. Les deux méthodes de base consistent à utiliser un ou deux pare-feu, bien que la plupart des DMZ modernes soient conçues avec deux pare-feu. Cette approche de base peut être étendue pour créer des architectures plus complexes.

Un seul pare-feu avec au moins trois interfaces réseau peut être utilisé pour créer une architecture réseau contenant une DMZ. Le réseau externe est formé en connectant l’internet public — via la connexion du fournisseur de services internet (ISP) — au pare-feu sur la première interface réseau. Le réseau interne est formé à partir de la deuxième interface réseau et le réseau DMZ lui-même est connecté à la troisième interface réseau.

Des ensembles différents de règles de pare-feu pour surveiller le trafic entre l’internet et la DMZ, le LAN et la DMZ, et le LAN et l’internet contrôlent étroitement quels ports et quels types de trafic sont autorisés dans la DMZ depuis l’internet, limitent la connectivité à des hôtes spécifiques dans le réseau interne et empêchent les connexions non demandées soit à l’internet soit au LAN interne depuis la DMZ.

L’approche la plus sûre pour créer un réseau DMZ est une configuration à double pare-feu, dans laquelle deux pare-feu sont déployés avec le réseau DMZ positionné entre eux. Le premier pare-feu — également appelé pare-feu de périmètre — est configuré pour autoriser le trafic externe destiné à la DMZ uniquement. Le second pare-feu, ou interne, n’autorise que le trafic de la DMZ vers le réseau interne. Ce système est considéré comme plus sûr car deux dispositifs doivent être compromis avant qu’un attaquant puisse accéder au réseau local interne.

Les contrôles de sécurité peuvent être réglés spécifiquement pour chaque segment de réseau. Par exemple, un système de détection et de prévention des intrusions réseau situé dans une DMZ pourrait être configuré pour bloquer tout le trafic à l’exception des requêtes HTTPS sur le port TCP 443.

Comment fonctionnent les DMZ

Les DMZ sont destinées à fonctionner comme une sorte de zone tampon entre l’internet public et le réseau privé. Le déploiement de la DMZ entre deux pare-feu signifie que tous les paquets réseau entrants sont filtrés à l’aide d’un pare-feu ou d’un autre appareil de sécurité avant d’arriver aux serveurs que l’organisation héberge dans la DMZ.

Si un acteur de la menace mieux préparé passe par le premier pare-feu, il doit alors obtenir un accès non autorisé à ces services avant de pouvoir faire des dégâts, et ces systèmes sont susceptibles d’être durcis contre de telles attaques.

Enfin, en supposant qu’un acteur de la menace disposant de bonnes ressources soit capable de franchir le pare-feu externe et de prendre le contrôle d’un système hébergé dans la DMZ, il doit encore franchir le pare-feu interne avant de pouvoir atteindre les ressources sensibles de l’entreprise. Bien qu’un attaquant déterminé puisse violer même l’architecture DMZ la mieux sécurisée, une DMZ attaquée devrait déclencher des alarmes, donnant aux professionnels de la sécurité un avertissement suffisant pour éviter une violation complète de leur organisation.

Avantages des DMZ

Le principal avantage d’une DMZ est qu’elle offre aux utilisateurs de l’internet public un accès à certains services sécurisés tout en maintenant un tampon entre ces utilisateurs et le réseau interne privé. Les avantages de sécurité de ce tampon se manifestent de plusieurs façons, notamment :

Contrôle d’accès pour les organisations. Les organisations peuvent fournir aux utilisateurs un accès à des services situés en dehors de leurs périmètres de réseau par le biais de l’internet public. Un réseau DMZ fournit l’accès à ces services nécessaires tout en introduisant simultanément un niveau de segmentation du réseau qui augmente le nombre d’obstacles qu’un utilisateur non autorisé doit contourner avant de pouvoir accéder au réseau privé d’une organisation. Dans certains cas, une DMZ comprend un serveur proxy, qui centralise le flux du trafic Internet interne — généralement celui des employés — et simplifie l’enregistrement et la surveillance de ce trafic.

Empêcher les attaquants d’effectuer une reconnaissance du réseau. Une DMZ, parce qu’elle agit comme un tampon, empêche un attaquant d’être en mesure de repérer des cibles potentielles au sein du réseau. Même si un système au sein de la DMZ est compromis, le réseau privé est toujours protégé par le pare-feu interne qui le sépare de la DMZ. Pour la même raison, la reconnaissance externe est plus difficile. Bien que les serveurs de la DMZ soient publiquement exposés, ils sont soutenus par une autre couche de protection. La face publique de la DMZ empêche les attaquants de voir le contenu du réseau privé interne. Si les attaquants parviennent à compromettre les serveurs au sein de la DMZ, ils sont toujours isolés du réseau privé par la barrière interne de la DMZ.

Protection contre l’usurpation d’IP. Dans certains cas, les attaquants tentent de contourner les restrictions de contrôle d’accès en usurpant une adresse IP autorisée pour se faire passer pour un autre appareil du réseau. Une DMZ peut bloquer les usurpateurs d’IP potentiels pendant qu’un autre service du réseau vérifie la légitimité de l’adresse IP en testant si elle est joignable.

Dans chaque cas, la DMZ fournit un niveau de segmentation du réseau qui crée un espace où le trafic peut être organisé et où les services publics peuvent être accessibles à une distance sûre du réseau privé.

Ce à quoi servent les DMZ

Les réseaux DMZ constituent une partie importante de la sécurité des réseaux d’entreprise depuis presque aussi longtemps que les pare-feu et, en grande partie, sont déployés pour des raisons similaires : protéger les systèmes et ressources organisationnels sensibles. Les réseaux DMZ peuvent être utilisés pour isoler et maintenir les systèmes cibles potentiels séparés des réseaux internes, ainsi que pour réduire et contrôler l’accès à ces systèmes en dehors de l’organisation. L’utilisation d’une DMZ a longtemps été l’approche pour héberger les ressources de l’entreprise afin de rendre au moins une partie d’entre elles disponibles pour les utilisateurs externes autorisés.

Plus récemment, les entreprises ont choisi d’utiliser des machines virtuelles (VM) ou des conteneurs pour isoler des parties du réseau ou des applications spécifiques du reste de l’environnement de l’entreprise. Les technologies du cloud ont largement supprimé la nécessité pour de nombreuses organisations de disposer de serveurs web en interne. Une grande partie de l’infrastructure tournée vers l’extérieur, autrefois située dans la DMZ de l’entreprise, a maintenant migré vers le cloud, comme les applications SaaS (software-as-a-service).

Exemples de DMZ

Certains services cloud, tels que Microsoft Azure, mettent en œuvre une approche de sécurité hybride dans laquelle une DMZ est mise en œuvre entre le réseau sur site d’une organisation et le réseau virtuel. Cette approche hybride est généralement utilisée dans les situations où les applications de l’organisation s’exécutent en partie sur site et en partie sur le réseau virtuel. Elle est également utilisée dans les situations où le trafic sortant doit être audité, ou lorsque le contrôle granulaire du trafic est nécessaire entre le réseau virtuel et le centre de données sur site.

Une DMZ peut également être utile dans un réseau domestique dans lequel les ordinateurs et autres appareils sont connectés à Internet à l’aide d’un routeur à large bande et configurés en réseau local. Certains routeurs domestiques comprennent une fonction hôte DMZ, qui peut être opposée au sous-réseau DMZ plus couramment mis en œuvre dans les organisations avec beaucoup plus de dispositifs que ce que l’on trouverait dans une maison. La fonction hôte DMZ désigne un périphérique du réseau domestique qui fonctionne à l’extérieur du pare-feu, où il joue le rôle de DMZ, tandis que le reste du réseau domestique se trouve à l’intérieur du pare-feu. Dans certains cas, une console de jeu est choisie pour être l’hôte DMZ afin que le pare-feu n’interfère pas avec les jeux. De plus, la console est un bon candidat pour un hôte DMZ parce qu’elle contient probablement moins d’informations sensibles qu’un PC.

A part une utilisation sélective à la maison et dans le cloud, les DMZ fournissent une solution potentielle aux risques de sécurité posés par la convergence croissante de l’informatique et de l’OT (technologie opérationnelle). Les équipements industriels tels que les moteurs à turbine ou les systèmes de contrôle industriels sont fusionnés avec les technologies informatiques, ce qui rend les environnements de production plus intelligents et plus efficaces, mais crée également une surface de menace plus importante. Une grande partie des équipements OT se connectant à l’internet n’est pas conçue pour gérer les attaques de la même manière que les dispositifs IT.

Une OT compromise est potentiellement plus dangereuse qu’une violation IT également. Les violations de l’OT peuvent entraîner une panne de l’infrastructure critique, une perte de temps de production précieux, et peuvent même menacer la sécurité humaine, alors qu’une violation de l’IT se traduit par des informations compromises. L’infrastructure informatique peut aussi généralement se remettre des cyberattaques avec une simple sauvegarde, contrairement à l’infrastructure OT, qui n’a souvent aucun moyen de récupérer le temps de production perdu ou les dommages physiques.

Par exemple, en 2016, une compagnie d’électricité basée aux États-Unis a été attaquée par un ransomware qui a affecté ses appareils OT et empêché nombre de ses clients de recevoir du courant. L’entreprise ne disposait pas d’une DMZ établie entre ses appareils informatiques et OT, et ses appareils OT n’étaient pas bien équipés pour traiter le ransomware une fois qu’il les avait atteints. Cette violation a profondément affecté l’infrastructure de la compagnie d’électricité et les multitudes de clients qui dépendaient de son service.

Une DMZ aurait permis une segmentation accrue du réseau (à la fois au sein du réseau OT lui-même et entre les réseaux OT et IT) et aurait pu potentiellement freiner les dommages de débordement que le ransomware a causés à l’environnement industriel.