La zone démilitarisée (DMZ) est un terme souvent utilisé dans les discussions sur les réseaux, mais il peut être assez compliqué de le définir de manière concise. DMZ fait référence à une zone réseau que vous contrôlez et qui est utilisée pour séparer l'Internet non approuvé de votre réseau interne (approuvé). Si vous considérez votre réseau comme un cercle de confiance interne, la DMZ est un anneau externe et, enfin, Internet est l'anneau le plus externe autour de celui-ci, Les anneaux de défense s'apparentent au concept de défense en profondeur évoqué au début de ce article. Le cercle intérieur est protégé par le système d'exploitation, puis le pare-feu, puis enfin la DMZ. Pour chaque anneau, il existe une interface réseau interne et externe. Dans un environnement à volume élevé, des périphériques physiques distincts sont utilisés pour séparer les différents types de trafic et la direction du flux. En règle générale, une entreprise utilise des dispositifs de pare-feu matériels pour la DMZ, car ceux-ci ont tendance à être plus résistants aux attaques. De plus, étant construits sur un sous-système Linux, ils sont souvent plus robustes et renforcés, en raison de leur faible encombrement. Pour durcir le périmètre et sécuriser la sécurité de la DMZ, chaque pare-feu L'Appliance peut être restreinte pour n'autoriser que des protocoles spécifiques, selon les besoins de l'organisation. Ceux-ci pourraient inclure:
• Protocole de transfert de fichiers (FTP): ports TCP 20, 21
•DNS:port:TCP 53, port:UDP 53
• Protocole SMTP (Simple Mail Transport Protocol): port TCP 25
• Protocole de transfert hypertexte (HTTP)ÿ: port TCP 80
•HTTPS: portÿTCP443
• La gestion du système utilise souvent SSH: port TCP 22
Il est recommandé que les protocoles inutiles ou d'utilisateur final, tels que NETBIOS, qui pourrait être utilisé pour naviguer avec la DMZ et localiser les vulnérabilités à l'intérieur de la DMZ, être désactivé.
Bien que le rôle principal de la DMZ soit d'empêcher toute nouvelle pénétration de action au sein du réseau interne, vous devez toujours vous assurer que la DMZ elle-même est au plus haut niveau de défense et d'alerte. Si un attaquant peut pénétrer dans la DMZ, il pourrait compromettre d'autres routeurs DMZ et accéder directement aux systèmes internes. Il est courant pour une entreprise de localiser des portails Web, des passerelles et des sites Web extranet dans la DMZ. Si un serveur Web dans la DMZ est compromis, l'attaquant pourrait:
•Supprimer, copier ou modifier des applications Web et des données
• Dégrader les sites Web et les extranets externes de l'entreprise
• Dégrader les sites intranet internes de l'entreprise
• Accéder aux ressources internes, y compris les bases de données, les sauvegardes et le code source
En plus de restreindre les ports et les protocoles autorisés dans la DMZ, le responsable du réseau ou de la sécurité doit s'assurer que la DMZ est sous surveillance continue. En effet, la DMZ est le fossé qui entoure votre château et vous devez vous assurer que rien ne franchit cette frontière. Souvent, le pirate (ou l'expert en pénétration) essaiera de sonder vos systèmes de gestion DMZ plutôt que les principales ressources accessibles sur Internet. Étant donné que ce système n'est utilisé que rarement, envisagez d'exiger un niveau de protection plus élevé, tel que l'activation du chiffrement, de l'authentification et de la journalisation détaillée des transactions, ainsi que la désactivation de tous les accès lorsqu'ils ne sont pas utilisés. Voici quelques bonnes pratiques utiles pouvant être déployées en relation avec la DMZ:
•Utilisez un système de prévention des intrusions (IPS).
•Mettre en place et déployer une politique de sécurité robuste.
•Mettre en place une politique d'audit approfondie.
•Utilisez des signatures pour détecter et bloquer les attaques bien connues.
• Maintenez à jour les signatures anti-malware.
•Soyez vigilant.
•Éteignez l'équipement de maintenance lorsqu'il n'est pas utilisé.
De manière régulière, par exemple tous les six mois, et surtout si votre carrière et votre entreprise reposent sur le maintien d'une DMZ robuste et sécurisée, vous devriez envisager de faire appel aux services d'un expert en pénétration. Dans le cadre d'un ensemble strict de règles et de limites convenues entre vous et la direction, l'expert tentera de pirater votre système de l'extérieur. Les résultats des actions montreront souvent où des améliorations peuvent être apportées, et ils doivent être sauvegardés, car ils pourraient contenir des lacunes dans votre approche actuelle. Vous devez mettre en œuvre
des contre-mesures et supprimer tout ou partie des vulnérabilités mises en évidence, dès que possible.
.jpg)
Aucun commentaire:
Enregistrer un commentaire