Du point de vue du réseau, une zonedémilitarisée (ou DMZ) est une partie du réseau qui est situéesentre un réseau moins, peu, voire pas, sécurisé (Internet, WAN) etune partie plus sécurisée d’un réseau (soit le réseau local, ouLAN). L’utilité d’une telle zone est de permettre l’accès àdes ressources internes au réseau, tout en gardant la partiesécurisée à l’abri des attaques externes. De nombreusesressources peuvent être stockées sur les serveurs d’une DMZ,comme par exemple un serveur Mail, Web, FTP, entre autres. En effet,ces services doivent pouvoir être accessible depuis l’extérieur,tout en restant disponible pour le réseau interne, sans que celan’affecte la sécurité de la structure interne.

Pour pouvoir mettre en place une tellenotion, il est nécessaire d’utiliser un équipement de sécurité.Dans le cas qui nous intéresse, un pare-feu (firewall) matérielCisco PIX/ASA est utilisé comme base, sachant que des alternativesexistent, notamment CBAC (Context Based Access Control) sur lesrouteurs Cisco qui offre globalement les mêmes possibilités defiltrage que les PIX/ASA. L’article étant basé sur leséquipements de type Security Appliance de Cisco (PIX/ASA), CBAC nesera pas traité dans cet article, mais les concepts exploséss’appliquent globalement aussi à cette alternative.

Fonctionnement

Avant d’aborder le fonctionnementd’une DMZ plus en profondeur, il est nécessaire de faire un petitrappel sur les quelques principes fondamentaux qui régissent lefonctionnement d’un pare-feu Cisco :

• La base de l’algorithme Security Appliance est les niveaux de sécurité.

• Un trafic n’est autorisé que s’il est à destination d’un niveau de sécurité moins élevé.

• Il est nécessaire d’utiliser du NAT (Network Address Translation) ou du PAT (Port Address Translation) pour qu’une communication soit possible. Rappel : le NAT/PAT consiste en l’association de deux adresses IP entre elles. Le cas le plus fréquent est l’association d’adresses privées avec l’adresse publique du réseau

• Deux réseaux de même niveau de sécurité, contrairement à ce qu’il serait possible de penser, ne peuvent pas communiquer entre eux directement ! La commande « same-security-traffic » doit être utilisée.

• Des règles de filtrage peuvent être mises en place à l’aide d’ACL (Access Control List).

• Même si un PIX/ASA possède des fonctionnalités de routage, celui-ci ne doit en aucun cas être le centre de routage névralgique du réseau, du fait de son exposition aux attaques extérieur !

Ces points sont d’autant plusessentiels qu’ils sont utilisés à outrance dans le cadre de lamise en place d’une DMZ. Le but premier d’une DMZ étantd’autoriser l’accès à des ressources « internes »depuis l’extérieur, et le pare-feu n’autorisant par défautaucun trafic en provenance de l’extérieur, il convient d’appliquerdeux notions fondamentales :

• L’utilisation de NAT statique :

Le NAT statique crée une règletransformant une adresse prédéfinie en une autre de manièrestatique. Il est généralement recommandé d’utiliser du NATdynamique ou du PAT dans la plupart des cas, mais puisque l’onsouhaite associer une adresse publique à notre DMZ, une associationstatique est préférable : elle n’offre aucune marge demanœuvre et limite l’accès au réseau interne à une uniquemachine

• Le filtrage du trafic à l’aide d’ACL :

Le pare-feu bloquant automatiquement letrafic en provenance de l’extérieur (WAN, Internet), il estnécessaire de créer des règles afin de permettre certains typesd’informations (dans notre cas, le trafic Web, mail, FTP, etc.).