Contexte

Face à l'augmentation constante du nombre de cyberattaques, les organisations doivent prendre des mesures pour protéger leurs actifs et les particuliers pour préserver leurs données. L'un des outils qu'ils utilisent est la DMZ ou zone démilitarisée en Français.

En matière de sécurité informatique, les configurations couramment utilisées pour les réseaux de petite et moyenne taille comprennent un pare-feu qui traite toutes les demandes du réseau interne (LAN) vers Internet, et d'Internet vers le LAN.

Ce pare-feu est la seule protection dont dispose le réseau interne dans ces configurations ; il gère toute NAT (Network Address Translation), en transférant et en filtrant les demandes comme il l'entend.

Pour les petites entreprises, c'est généralement une bonne configuration. Mais pour les grandes entreprises, mettre tous les serveurs derrière un pare-feu n'est pas aussi efficace.

C'est pourquoi les réseaux de sécurité périmétriques (également appelés réseaux de zones démilitarisées ou DMZ) sont utilisés pour séparer le réseau interne du monde extérieur. Ainsi, les personnes extérieures peuvent accéder aux informations publiques dans la DMZ, tandis que les informations privées et exclusives sont gardées en toute sécurité derrière la DMZ, dans le réseau interne.

De cette façon, en cas de violation de la sécurité, les attaquants ne pourront accéder qu'aux serveurs du réseau DMZ. Cela peut être ennuyeux et entraîner des temps d'arrêt, mais les informations sensibles seront gardées, bien en sécurité.

Voici quelques exemples de services que l'on peut garder dans le réseau de la zone démilitarisée :

• Des serveurs web avec des informations publiques,

• Le front-end d'une application (le back-end doit être gardé en sécurité derrière la DMZ),

• Des serveurs de messagerie,

• Des services d'authentification,

• Des services comme HTTP pour une utilisation publique générale, SMTP sécurisé, FTP sécurisé et Telnet sécurisé,

• Les serveurs VoIP,

• Des passerelles d'applications,

• Des serveurs de test.

Cas d'utilisation d'une DMZ

Mise en place de l'atelier

Mettre en place l'atelier

Mettre en place de l'atelier

0 seconds of 7 minutes, 0Volume 100%

Pour cet exercice, nous allons utiliser Virtualbox et PfSense. Précisons tout de même que tout ce que nous allons voir est adaptable à n'importe quel firewall / routeur physique / virtuel et à n'importe quelle box. Des recherches simples pourront vous apporter la marche à suivre dans le cas de figure qui sera le vôtre.

Pour commencer, il faudra évidemment que vous ayez une VM PfSense fonctionnelle (https://www.pfsense.org/download/). Le firewall devra disposer de 3 interfaces réseau, une WAN, une LAN et une DMZ.

Pour cela, nous allons configurer la partie réseau de votre VM sous Virtualbox :

Méthode

Faire un clic gauche sur réseau dans la partie de droite, ou un clic droit sur la VM → Configuration → Réseau.

Dans ce menu vous pouvez définir quel type d'interface réseau sera présent sur votre VM, notre but maintenant étant de virtualiser 3 interfaces reliées entre elles.

Pour cela, il faut les configurer comme suit :

Rappel

Pour une bonne compréhension, voyons chaque option :

Le mode d'accès réseau de l'adapter 1 est en « Accès par pont » et pointe vers la connexion internet de votre machine hôte, dans le cas de l'image, vers la carte Wi-Fi. Les deux autres sont en « Réseau interne » afin d'être reliés à toute les autres VM partageant le même réseau virtuel.

Le nom devra être le même entre les différents réseaux internes des différentes VMs

Dans Avancé : le type d'interface définit le type de carte réseau qui sera virtualisé, celle sur les images conviendra sans doute très bien, ne la changez que si vous avez un problème.

Passez le Mode Promiscuité en « Tout autoriser », bien que cela ne nous concerne pas pour ce cours, vous pouvez avoir une description de son fonctionnement ici.

L'adresse MAC étant générée aléatoirement, vous pouvez utiliser le bouton vert à droite pour en générer une nouvelle dans le cas où deux adresses MAC seraient les mêmes.

Pour finir, l'option « Câble Branché » est indispensable, car elle permet tout simplement de simuler un câble réseau branché de l'une à l'autre des interfaces virtuelles.

Pour résumer, nous avons donc maintenant :

• Accès par pont – Notre WAN

• Réseau interne « LAN » – Notre LAN

• Réseau interne « DMZ » – Notre DMZ

Mise en place de la DMZ

Méthode

Une fois la mise en place terminée et la VM pfSense démarrée, rendez-vous sur votre navigateur web dans une VM cliente et tapez l'IP de votre pfSense afin d'accéder au panel de gestion web.

Pour rappel, vous trouverez cette adresse sur la VM pfsense, présentée comme suit :

Une fois sur le dashboard pfSense (par défaut les identifiants sont « admin » / « pfsense ») rendez-vous dans « Interfaces » → « Assignments ».

Ensuite, cliquez sur « Add » afin de créer l'interface OPT1, puis sur « Save » pour enregistrer les changements.

Maintenant, cliquez sur OPT1 pour le configurer, puis :

1. Cochez « Enable interface »,

2. Changez interface name en DMZ,

3. Sélectionnez « Static IPv4 »,

4. Mettez l'IP Address de votre choix,

5. Définissez le masque de sous-réseau de votre choix,

6. Cliquez sur « Save »,

7. Cliquez sur « Apply Changes ».

Retournez sur « Interfaces » → « Assignment ».

Maintenant, votre interface DMZ est créée et fonctionnelle.