Ha la la le troll classiqe sur les DMZ... :p
L'architecture proposée est classique elle aussi, on la trouve dans beaucoup de banques ou autres entreprises hebergeant des serveurs largement accessibles.
Donc, une "vraie" DMZ, c'est un bout de réseau encadré par 2 firewalls.
Quand on n'a pas beaucoup d'argent, ou quand on n'a pas envie de le dépneser dans le réseau, on utilise souvent un seul firewall qui joue le rôle de 2. C'est le cas typique d'IPCop.
- Code: Tout sélectionner
Internet ------------- FW ------------ réseau interne
|
|
DMZ
Dans ce cas, le FW joue plusieurs rôle :
- S'assurer que les connexions de l'exterieur ne peuvent aller que sur une machine dans la DMZ (je dirais l'agent externe dans votre phraséologie)
- S'assurer que seule une machine de la DMZ peut acceder aux serveurs en interne (l'agent interne)
Cette architecture apporte deja un bon niveau de sécurité, mais pas forcement suffisant.
En effet, une exploitation d'une faille sur l'agent externe peut permettre à un attaquant de prendre le controle de cette machine, et dans ce cas aucun équipement de filtrage ne protège l'agent interne.
On peut donc proposer d'augmenter le cloisonnement ainsi :
- Code: Tout sélectionner
Internet ------------- FW ---------------------- FW------ réseau interne
| |
| |
| Agent interne
|
Agent externe
Ainsi, on peut s'assurer qu'un assaillant ayant pris le controle de l'agent externe est toujours isolé, et ne peut attaquer "simplement" l'agent interne. De même, si il parvenait à prendre le controle de l'agent interne, il est toujours isolé dans une zone à part.
On parle de DMZ interne et de DMZ externe.
Il est possible de positionner les DMZ différement, sur le FW "interne" par exemple.
Pour ce qui est du choix des firewalls, on ne pourra malheureusement pas répondre dans l'absolu. Tout dépnd de ce que l'on en attend.
Une "bonne pratique" est d'en utiliser deux différents, c'est une règle qui se discute. Je n'entre pas dans le troll.
Ensuite, il faut regarder les paramètres : Performances réseau. Possibilité de les mettre en haute dispo, redondances. Facilité d'administration. Nombre de règles à gérer...
Tout ceci dépnd beaucoup de l'activité du client, du nombre de personnes pour exploiter le bouzin, etc.
Ca depend aussi du role des agents.
Typiquement, l'agent externe fait un filtrage basique (adresses sources, validité des requetes, etc) et surtout on lui demand ede la performace (c'est en général le end-point SSL, il doit donc traiter beaucoup de requete et gerer la crypto).
On met plutot sur l'agent interne des fonctions de filtrage plus fines, plus proches du metier (URL accessibles, en liste blanche/liste noire, droits d'accès, pourquoi pas authentification etc.)
J'aime les devinettes... .Solutions NSOne (vu les termes employés) ?
Pour équilibrer la balance, je citerai aussi un gros concurrent : DenyAll
Pour Franck : Pourquoi les firewalls devraient-ils etre forcement transparents ?
A+
t.