Le pare-feu matériel (firewall hardware) est la pierre angulaire de la sécurité réseau pour presque tous les réseaux TCP/IP. Qu’il s’agisse d’une PME ou d’une grande entreprise, le pare-feu fournit une défense de base contre les attaques des systèmes informatiques et des actifs d’information numériques.
Bien que les réseaux modernes s’étendent actuellement au-delà du périmètre du pare-feu, la plupart d’entre eux disposent encore d’une structure bien définie qui inclut la zone réseau interne, la zone réseau externe non fiable et d’autres zones de sécurité de réseau intermédiaires optionnelles.
Une zone de sécurité se définit comme un segment de réseau qui héberge un groupe de systèmes ayant des exigences similaires en matière de protection des informations.
En d’autres termes, une zone de sécurité est généralement un sous-réseau de niveau 3 sur lequel plusieurs hôtes (serveurs, postes de travail, etc.) sont connectés.
Le trafic à destination et en provenance de ce réseau spécifique est alors contrôlé par un pare-feu aux niveaux IP et Port, voire même au niveau des applications.
Généralités sur la segmentation du réseau
Le concept de segmentation ne date pas d’hier. Dans l’histoire ancienne, les Romains l’utilisaient déjà pour créer des unités de combat basées sur l’identité géographique et ethnique des guerriers capturés. L’idée consistait à regrouper ceux qui ont des antécédents similaires pour qu’ils puissent s’unir et devenir de meilleurs groupes de combat. Puis, le concept a été utilisé pour la création de groupes ethniques, religieux, géographiques, politiques et sexistes.
Les entreprises ont également repris cette idée pour les utilisateurs, le trafic ou les données pour protéger les parties centrales de leurs infrastructures informatiques via des moyens physiques ou logicielles.
Historiquement, la segmentation réseau était utilisée avec un pare-feu périmétrique sur la passerelle Internet des entreprises. Les organisations pouvaient déployer une paire de pare-feu qui entourent une zone démilitarisée pour fournir un environnement séparé entre les zones fiables et non fiables.
Le problème avec les architectures réseau traditionnelles est qu’elles ont été construites en plaçant les joyaux de la couronne, ou plus précisément les données sensibles, dans un château bien gardé, c’est-à-dire le centre de données. Les entreprises avaient donc l’impression que toutes leurs ressources critiques étaient bien protégées par un périmètre solide et que personne ne pouvait passer à travers leurs systèmes de défenses, sauf si elles obtiennent des autorisations. Mais elles ne pouvaient rien faire si la personne non autorisée se trouvait déjà à l’intérieur du château, si elle disposait déjà des accès aux données et qu’elle trouvait des moyens de sortir les informations sensibles de leurs centres de données.
Le fait est que le zonage d’un réseau « digne de confiance » – c’est-à-dire un réseau entier qui est considéré comme un seul segment – crée un environnement où une seule intrusion permet à un pirate d’avoir un accès étendu. Il peut également avoir le contrôle sur hôtes et les services avec un minimum d’effort, et les entreprises ne pouvaient pas le détecter.
De nos jours, les techniques de phishing, d’ingénierie sociale et l’utilisation croissante des appareils mobiles et du télétravail obligent les entreprises à déployer des moyens plus efficaces pour contrer les cyber-menaces. Elles se doivent de segmenter leurs réseaux et de séparer leurs informations sensibles, leurs services de messagerie en ligne et les autres services Internet.
La segmentation du réseau est une alternative qui leur permet de limiter le niveau d’accès à certaines informations et à des services sensibles, de manière à ce qu’elles puissent continuer à fonctionner efficacement, même en cas d’attaque informatique. Mais pour être efficaces, les solutions de segmentation du réseau doivent être soigneusement planifiées, appliquées et surveillées avec rigueur pour qu’elles ne puissent être contournées.
Qu’est-ce qu’un pare-feu ?
Puisque nous allons parler de pare-feu tout au long de ce dossier, il convient de définir ce que c’est. Un pare-feu peut se présenter sous la forme d’un composant matériel ou d’un logiciel. Il est conçu pour défendre un ordinateur local contre les virus et d’autres formes d’attaques malveillantes.
Le pare-feu peut interdire certaines communications et en autoriser d’autres. Ainsi, votre réseau interne pourra accéder à l’extérieur, aux serveurs de messagerie et aux serveurs web quand vous le souhaitez. De la même façon, vous pouvez le configurer pour permettre au réseau externe d’accéder aux serveurs de messagerie et aux serveurs web, sans pour autant autoriser l’accès au réseau interne.
A titre d’exemple, si vous vous connectez à WAMP depuis votre ordinateur et que vous ouvrez le port 80 de votre box internet. Vous bloquez ensuite votre pare-feu pour cette machine, de telle sorte que les autres ordinateurs ne puissent pas y accéder via de votre box internet et via le port 80, on pourrait donc dire que vous utilisez votre pare-feu afin que votre machine puisse servir d’une zone DMZ.
Segmentation de la zone de sécurité périmétrique des réseaux d’entreprise
Il n’existe pas de topologie de réseau périmétrique unique qui convienne à tous les réseaux, car chacun a ses propres exigences et fonctionnalités pour satisfaire les besoins d’une entreprise.
Cependant, il existe une approche de « meilleure pratique » pour mettre en œuvre un périmètre de réseau qui offre une sécurité et une protection des données améliorées contre les menaces en ligne. Cette approche est illustrée sur le schéma ci-dessous.
Encore une fois, la topologie de réseau que nous avons fourni n’est qu’un exemple qui a été mis en œuvre dans de nombreuses entreprises, mais elle peut avoir différentes variations, à savoir l’utilisation de deux pare-feu au lieu d’un, d’une seule zone DMZ au lieu de deux, etc.
Le réseau périmétrique suggéré ci-dessus comprend deux zones démilitarisées (DMZ), c’est-à-dire des sous-réseaux séparés du réseau local et isolés de celui-ci et d’Internet, à savoir DMZ1 et DMZ2, ainsi qu’une zone interne. Les flèches rouges indiquent le flux de trafics autorisé à partir du pare-feu.
Comment les pirates peuvent-ils compromettre votre système informatique ?
En règle générale, les cybercriminels vont tenter de compromettre votre réseau, souvent en ciblant un hôte sous le contrôle d’un utilisateur légitime par le biais de l’ingénierie sociale. Ceci étant fait, il va se déplacer sur le réseau dans le but de localiser et d’accéder aux informations sensibles.
Il peut également tenter d’établir des connexions directement entre un hôte plus sensible et un hôte compromis, en utilisant divers outils et techniques. Par exemple, il peut dans un premier temps compromettre un poste de travail, puis créer une connexion à distance avec un serveur. Cela lui permet de mapper des lecteurs réseau ou d’utiliser des outils d’administration réseau légitimes pour accéder à des informations sensibles ou pour exécuter un code malveillant sur ce serveur. Cette seconde option est souvent utilisée pour cibler le serveur d’authentification d’une entreprise.
Afin de minimiser l’impact d’une éventuelle intrusion dans le réseau, vous devriez rendre aussi difficile que possible pour les pirates de trouver et d’accéder à ces informations ou de se déplacer dans le réseau sans que vous ne puissiez les détecter. L’une des solutions que vous pouvez mettre en œuvre et la création d’une ou plusieurs zones DMZ.
Zones DMZ
Une zone DMZ est un sous-réseau de couche 3 isolé sur lequel les hôtes connectés sont généralement exposés à l’Internet public afin de fournir des services aux utilisateurs (Web, Email, DNS, etc.). Ils sont donc les plus vulnérables aux attaques.
En raison du nombre croissant des hôtes victimes d’une attaque, le sous-réseau est donc placé dans une zone démilitarisée (DMZ) afin de minimiser les dommages au réseau protégé interne au cas où un de ces serveurs serait compromis.
Architecture des zones démilitarisées du réseau
Il existe plusieurs manières de concevoir un réseau avec une DMZ. L’une des méthodes les plus utilisées consiste à utiliser un pare-feu, avec au moins trois interfaces réseau. Mais la plupart des architectures DMZ de nos jours sont conçues avec deux pare-feu. Cette seconde approche est la plus sûre pour créer un réseau DMZ.
Les deux pare-feu sont déployés avec le réseau DMZ, placé entre eux. Le premier pare-feu, également appelé pare-feu périphérique, est configuré pour autoriser le trafic externe, tout particulièrement destiné à la DMZ. Quant au second, c’est-à-dire le pare-feu interne, il n’autorise que le trafic de la DMZ vers le réseau interne. Cette solution est considérée comme plus sûre, étant donné que les pirates ne peuvent pas accéder au réseau local interne que si les deux périphériques sont compromis.
Ces approches de base peuvent être étendues si vous voulez créer des architectures plus complexes.
Dans le réseau de segmentation du périmètre que nous proposons sur le schéma ci-dessus, nous avons deux zones DMZ, ce qui offre une meilleure protection à la zone interne.
DMZ1
Une DMZ est un sous-réseau physique ou logique, séparant un réseau local interne (LAN) des autres réseaux non fiables, notamment l’internet public. Les serveurs, ressources et services externes sont situés dans la DMZ1.
Ces ressources et services (Web, email, DNS, proxy, etc.) sont donc accessibles depuis l’internet. Par contre, le reste du réseau local interne reste inaccessible. Cette solution fournit une couche de sécurité supplémentaire au réseau local, étant donné qu’elle limite la capacité d’un pirate à accéder directement à vos serveurs et données sensibles via l’internet.
Le pare-feu ne doit permettre que le trafic d’Internet vers DMZ1. De plus, seuls les ports TCP/UDP requis peuvent y accéder.
À titre d’exemple, en 2016, une compagnie d’électricité américaine a été la victime d’une attaque de ransomware. Celui-ci a affecté ses appareils informatiques et empêché un grand nombre de ses clients de recevoir de l’électricité.
En réalité, ladite société ne disposait pas d’une DMZ entre ses appareils informatiques et les autres appareils d’exploitation. De plus, ses appareils d’exploitation n’étaient pas bien équipés pour gérer le ransomware une fois qu’ils étaient affectés. Cette attaque a profondément affecté l’infrastructure de la société d’électricité et ses nombreux clients.
Même la mise en place d’une DMZ1 aurait permis une segmentation accrue du réseau afin d’éviter les dégâts de débordement que le ransomware avait causés. Mieux encore, ils pouvaient mettre en place une seconde DMZ, c’est-à-dire une DMZ2.
DMZ2
Il s’agit d’une zone intermédiaire qui permet d’héberger des serveurs d’applications, des serveurs de bases de données, etc. Ces serveurs sont indirectement accessibles depuis Internet via la zone DMZ1.
Par exemple, les meilleures pratiques en matière de sécurité suggèrent qu’un serveur web qui peut accéder aux informations dans une base de données ne doit pas être installé sur la même machine que le serveur. Par conséquent, il est recommandé de placer le serveur de base de données sur DMZ2.
Un serveur Web frontal qui communique avec un serveur d’application Web devrait également être placé dans deux zones de sécurité distinctes.
L’arrangement ci-dessus protège la zone interne, de telle sorte que toute compromission des serveurs de base de données ou d’applications (via les serveurs DMZ1) n’entraîne pas l’accès à cette zone.
Le pare-feu doit autoriser l’accès à DMZ2 à partir de DMZ1 uniquement sur les ports requis . De plus, DMZ2 peut avoir un accès limité à la zone interne pour certains cas spéciaux, comme l’accès à un serveur de gestion interne, pour la sauvegarde et l’authentification Active Directory.
Zone de sécurité interne
Cette zone héberge généralement les postes de travail des utilisateurs internes et d’autres serveurs importants tels que les serveurs de fichiers, les serveurs Active Directory, les bases de données internes, les applications spécialisées (ERP, logiciels comptables), etc.
Le pare-feu ne doit pas permettre un accès direct depuis Internet vers ce réseau interne. De plus, le trafic web sortant des utilisateurs de ce réseau peut utiliser un serveur proxy HTTP situé dans DMZ1 pour accéder à Internet.
Il existe d’innombrables topologies de périmètre de réseau qui peuvent être mises en œuvre par les entreprises pour s’assurer de leur bon fonctionnement. L’exemple ci-dessus est une proposition de segmentation de zone de pare-feu que vous pouvez utiliser pour atteindre une sécurité réseau solide pour votre entreprise.
Comment fonctionnent les zones démilitarisées ?
Les DMZ constituent une sorte de zone tampon entre le réseau de votre entreprise et l’Internet public. En déployant une DMZ entre deux pare-feu, vous pouvez garantir que tous les paquets réseau entrants sont filtrés par le biais d’un pare-feu ou d’un autre dispositif de sécurité avant d’arriver sur les serveurs hébergés.
Si un pirate informatique parvient à passer à travers le premier pare-feu et que vous en utilisez deux, il ne pourra pas obtenir un accès non autorisé à vos ressources et services pour faire des dégâts. De plus, ces systèmes peuvent encore être renforcés contre les éventuelles attaques lancées via le web.
Supposons qu’un pirate possède des ressources suffisantes pour franchir le pare-feu externe. Il pourra donc prendre en charge un système hébergé dans la DMZ1. Pourtant, il doit encore contourner le pare-feu interne avant pour avoir accès aux données sensibles de votre entreprise. Lorsqu’il tentera de contourner la DMZ2, cela devrait déclencher des alarmes. Ainsi, votre équipe informatique pourra avoir suffisamment d’avertissements pour éviter une attaque contre votre organisation.
Plus votre réseau est grand, plus il est difficile à protéger
Si vous disposez d’un grand réseau non segmenté, sachez qu’il présente une grande surface d’attaque, plus de failles et de vulnérabilités. Pourquoi ? Simplement parce que tout le trafic et les applications peuvent accéder à l’ensemble du réseau. Lorsqu’un pirate informatique parvient à faire cela, il pourra accéder à vos données critiques.
L’autre chose que vous devez savoir est qu’un grand réseau est plus difficile à contrôler et à surveiller. La segmentation est donc une excellente solution pour limiter la capacité d’un attaquant de s’introduire dans votre réseau et pour l’empêcher de se déplacer latéralement entre les zones de sécurité.
Le terme zone de sécurité fait référence à un groupe d’une ou plusieurs interfaces de pare-feu virtuels ou physiques où les segments de réseau sont connectés à des interfaces. Le but est de contrôler chacune des zones pour qu’elles reçoivent les protections spécifiques dont elles ont besoin.
Chaque fois qu’il existe une fonctionnalité spécifique que vous devez protéger, il est important de créer des privilèges d’accès pour certains utilisateurs. Ainsi, vous pouvez ne donner l’accès au réseau qu’aux utilisateurs, aux applications et aux appareils concernés ou refuser tout autre trafic.
La DMZ est-elle encore d’actualité ?
Si la DMZ était auparavant indispensable pour toute entreprise connectée à Internet, de nombreuses organisations pensent que le cloud a rendu cette technique inutile.
Bien entendu, de nombreuses entreprises choisissent actuellement d’héberger leurs propres serveurs web et déploient des applications Software-as-a-Service. Pourtant, le fait de mettre en place une zone démilitarisée pour se protéger des attaques en ligne, en séparant les données critiques du reste de votre réseau, se présente encore comme une stratégie de sécurité efficace.
Les DMZ ont joué un rôle important dans la sécurisation des réseaux d’entreprise, et ce, depuis que les pare-feu ont été utilisés. Elles vous permettent de protéger les systèmes et ressources sensibles de votre entreprise. Mais le principal avantage de l’utilisation des DMZ est de fournir l’accès aux services Internet à partir de l’Internet public, et ce, de façon sécurisée.
Les réseaux DMZ permettent également d’isoler et de séparer certains systèmes sensibles des réseaux internes, et surtout de réduire et de contrôler l’accès à ces systèmes depuis l’extérieur de votre entreprise.
Les menaces en ligne
Quelle que soit l’architecture réseau que vous mettez en place vos serveurs, routeurs, PC, systèmes de stockage, etc. sont toujours vulnérables à un certain niveau, et ce, pour différentes raisons.
D’abord, vous devez savoir que les cybercriminels ne cessent de chercher les nouvelles vulnérabilités, que ce soit sur vos réseaux sociaux, votre service de messagerie instantanée, ou votre réseau sans fil.
Ensuite, les politiques de sécurité de nos jours sont souvent complexes à mettre en place puisqu’elles doivent opérer simultanément sur tout le réseau pour de nombreux utilisateurs.
Enfin, les employés adoptent de plus en plus des comportements qui permettent aux pirates informatiques de mener de nouvelles attaques.
Les menaces cybercriminelles peuvent être classées en quatre grandes catégories.
La technique d’intrusion
Lorsqu’un pirate utilise cette technique, il va tenter de s’introduire sur votre réseau informatique dans le but de voler ou de modifier vos données.
Les techniques les plus simples reposent sur l’intervention de vos employés, soit par intrusion, soit par le vol d’équipements comme les ordinateurs portables. Quant aux attaques les plus sophistiquées, elles font appel à des techniques d’interception des rayonnements émis par certains équipements ou via l’écoute des flux d’information entre deux appareils.
Quoi qu’il en soit, le principe consiste à s’introduire sur vos systèmes d’information via vos systèmes informatiques. Pour ce faire, les pirates utilisent souvent le téléchargement d’un cheval de Troie (un programme informatique qui comporte une fonctionnalité cachée, dont l’attaquant seul connaît) qui lui permet de prendre le contrôle de votre ordinateur s’il est compromis. Ensuite, il pourra utiliser votre appareil à votre insu.
À la différence des virus qui sont lancés à très grande échelle via Internet, les chevaux de Troie visent souvent des victimes bien ciblées et ils ne sont pas souvent détectés automatiquement par les solutions antivirus. De plus, ils peuvent s’installer durablement sur la machine compromise.
Les dénis de service (DOS et DDOS)
Le but d’une attaque utilisant les dénis de service est d’empêcher une application ou d’un service que vous utilisez au sein de votre entreprise de fonctionner normalement.
Lors d’une attaque par déni de service, ou DoS (Denial of Service), les pirates tentent de perturber, ou de paralyser totalement le fonctionnement de votre serveur informatique en le bombardant de requêtes erronées. Leur but est d’affecter votre service en ligne ou votre réseau d’entreprise en saturant une des ressources de votre système, notamment la bande passante, votre espace de stockage ou encore ressources de calcul de vos processeurs.
La nouvelle variante de cette menace est déni de service distribué ou DDOS ou « Distributed Denial Of Service ». Le but reste le même, mais l’attaque DDOS ne vise pas une seule machine. En fait, les pirates s’attaquent à de nombreux appareils qui deviendront des « botnet ». Cela leur permet de les contrôler facilement et à distance.
À noter qu’un botnet peut compter jusqu’à plusieurs milliers d’ordinateurs dont les utilisateurs ignorent tout de l’infection dont ils sont victimes.
Actuellement, l’une des pratiques les plus répandues consiste à louer un botnet dans le but de perpétrer une attaque. Pour quelques euros de l’heure, on trouve facilement ce genre d’outils sur le dark web.
Le phishing
Il s’agit d’une technique dont le but est d’inciter un ou plusieurs employés à réaliser une action, notamment de cliquer sur un lien qui pointe vers un site malveillant ou d’ouvrir une pièce jointe malveillante qui permettra aux pirates de voler des données sensibles ou de télécharger des malwares.
La technique du phishing utilise l’ingénierie sociale. Elle consiste à exploiter non pas une faille informatique, mais les vulnérabilités de vos employés en les dupant par le biais d’un e-mail qui semble provenir d’une entreprise de confiance, notamment une banque ou un site e-commerce.
Le message envoyé par les pirates usurpe l’identité d’une enseigne connue et les invite à se connecter en ligne via un lien hypertexte et à mettre à jour des informations les concernant dans un formulaire d’une page web malveillante, copie conforme d’un site authentique, en prétextant par exemple la mise à jour d’un service, l’intervention du support technique, etc.
Les adresses électroniques sont collectées par les pirates au hasard sur le web et le message a souvent peu de sens. Il est bien possible que la victime reconnaisse le message malveillant, mais avec la quantité des messages que les pirates envoient, il peut toujours arriver que le destinataire tombe dans le piège. Ainsi, ils peuvent obtenir les identifiants et les mots de passe de vos employés ainsi que leurs données personnelles ou bancaires. Ils pourront ainsi transférer directement l’argent sur leur compte ou obtenir ultérieurement les données nécessaires en utilisant intelligemment les données personnelles qu’ils ont collectées à des fins malveillantes.
Le spoofing
Ce type de menace est un peu basique. Les pirates tentent de falsifier une adresse IP pour que ses victimes pensent qu’un e-mail (par exemple) semble provenir d’une source fiable. Le pirate peut également exploiter les failles au niveau de votre protocole DNS pour rediriger vos employés vers des sites malveillants.
Le spoofing consiste à déguiser une communication provenant d’une source inconnue en communication provenant d’une source connue et fiable. Cela peut se faire via les emails, les appels téléphoniques et les sites web, ou peut être plus technique, comme l’usurpation d’une adresse IP, d’un serveur DNS (Domain Name System)ou d’un protocole de résolution d’adresse (ARP).
Les pirates peuvent utiliser l’usurpation d’adresse pour accéder à vos informations personnelles ; pour diffuser des malwares par le biais de liens ou de pièces jointes infectées ou pour contourner les contrôles d’accès au réseau et redistribuer le trafic pour mener une attaque par déni de service. Le spoofing est souvent le moyen par lequel un cybercriminel obtient l’accès afin d’exécuter une cyberattaque plus importante comme une menace persistante avancée ou une attaque du type « man in the middle ».
Si une telle attaque est réussie contre votre organisation, cela peut entraîner l’infection de vos systèmes et réseaux informatiques, la violation de vos données sensibles et la perte de revenus, outre la perte de réputation de votre enseigne.
Faites appel à TitanHQ pour mieux sécuriser votre réseau
Quelle que soit la taille de votre entreprise, vous pouvez toujours adopter une stratégie pour contrer les menaces en ligne telles que l’accès à vos serveurs et à vos postes de travail ainsi que le vol de vos données sensibles.
L’une de ces solutions est de mettre en place un pare-feu matériel. Comme susmentionné, le pare-feu matériel est essentiel pour sécuriser vos biens numériques, à condition qu’il soit bien configuré.
Vous devez segmenter votre réseau et mettre en place des zones de sécurité de pare-feu. De cette manière, vous améliorerez la sécurité et garder votre réseau interne sécurisé contre les attaques lancées via le web.
N’oubliez pas que chaque entreprise dispose d’une structure de réseau bien définie, comprenant à la fois une zone de réseau interne et une zone de réseau externe qui n’est pas souvent sécurisée, et éventuellement des zones de sécurité intermédiaires, mais chaque zone a des exigences de sécurité presque similaires.
Autrement dit, il n’existe pas de configuration unique et idéale pour toutes les entreprises et pour tous les réseaux.
Si vous respectez les meilleures pratiques en matière de segmentation du réseau et si vous utilisez la segmentation des DMZ et de votre pare-feu, vous tirerez le meilleur parti de la sécurité du réseau.
Nous recommandons également de mettre en place une solution de filtrage web basée dans le cloud pour plus de sécurité. Vous pouvez par exemple opter pour WebTitan, un filtre web efficace qui peut empêcher vos employés d’accéder à des sites web connus pour héberger des malwares, conçus pour permettre aux pirates de mener des attaques de phishing ou de spoofing ; ou ceux qui enfreignent les politiques d’utilisation acceptable de l’Internet au sein de votre organisation.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que les données et les appareils sensibles de vos clients et de votre personnel sont protégés ? Contactez nos spécialistes dans le domaine. Vous pouvez aussi nous envoyer un courriel à info@titanhq.com pour toute autre question.
FAQ sur la segmentation réseau
Quel est le but ultime de la segmentation du réseau en utilisant la DMZ ?
Le principal objectif d’une DMZ est de permettre l’accès à vos ressources qui proviennent des réseaux non fiables, tout en maintenant la sécurité de votre réseau privé derrière un pare-feu.
Quelles sont les différentes ressources qui peuvent résider dans une DMZ ?
La zone DMS contient tous les services accessibles aux utilisateurs via un réseau externe. Ces ressources sont généralement les serveurs Web, les serveurs de messagerie, les serveurs VoIP, les serveurs FTP et le service DNS.
Est-il possible pour un utilisateur de contourner le pare-feu en utilisant la DMZ ?
La DMZ n’est pas conçue pour cela. Comme elle est située entre le pare-feu interne et le pare-feu Internet externe d’une entreprise, elle ne remplace pas le pare-feu ou les dispositifs de filtrage de contenus. Ainsi, un utilisateur ne pourra pas l’utiliser pour contourner le pare-feu. Elle est plutôt destinée à fonctionner avec les mécanismes de sécurité existants et surtout à les étendre. Pour plus de sécurité, il est recommandé d’utiliser deux pare-feux développés par deux fournisseurs.
Qu’est-ce qu’un serveur DMZ ?
C’est un serveur hébergé dans la DMZ et qui est souvent utilisé pour externaliser des ressources vers un réseau public, à savoir l’Internet. En déployant un serveur DMZ, vous bénéficierez d’un niveau de protection supplémentaire, car vous pourrez restreindre l’accès distant à vos serveurs et à vos informations sensibles, dont la violation pourrait être particulièrement préjudiciable.
La DMZ est-elle sûre ?
Aucune solution n’est fiable à 100 % pour contrer les menaces en ligne. Bien entendu, les DMZ constituent une couche de protection supplémentaire contre les attaques externes, mais elles ne peuvent pas vous protéger des attaques internes telles que le spoofing par e-mail ou le reniflage de paquets sur un réseau.