Examen des options d'organisation de l'accès aux services de réseau d'entreprise depuis Internet. Quatre bonnes pratiques pour créer une DMZ (zone démilitarisée)

DMZ ou Zone Démilitarisée (DMZ) est une technologie de sécurité réseau dans laquelle les serveurs répondant aux demandes d'un réseau externe sont situés dans un segment de réseau spécial et dont l'accès aux principaux segments de réseau est limité à l'aide de pare-feu (pare-feu), afin de minimiser les dommages lors du piratage d'un des services situés dans la zone.

Configuration d'un seul pare-feu

Schéma avec un pare-feu

Dans ce schéma DMZ le réseau interne et le réseau externe sont connectés à différents ports du routeur (agissant comme un pare-feu), qui contrôle les connexions entre réseaux. Ce schéma est facile à mettre en œuvre et ne nécessite qu'un seul port supplémentaire. Cependant, si le routeur est piraté (ou mal configuré), le réseau devient vulnérable directement depuis le réseau externe.

Configuration double pare-feu

En configuration avec 2 pare-feu DMZ se connecte à deux routeurs, dont l'un limite les connexions du réseau externe à DMZ, et le second contrôle les connexions de DMZ dans réseau interne. Ce schéma vous permet de minimiser les conséquences du piratage de l'un des pare-feu ou serveurs interagissant avec le réseau externe - jusqu'à ce que le pare-feu interne soit piraté, l'attaquant n'aura pas d'accès arbitraire au réseau interne.

Configuration à trois pare-feu

Il y a un rare configuration avec 3 pare-feux. Dans cette configuration, le premier prend en charge les requêtes du réseau externe, le second contrôle les connexions réseau DMZ et le troisième contrôle les connexions réseau internes. Dans une telle configuration, il est généralement DMZ et le réseau interne sont cachés derrière NAT (traduction d'adresses réseau).

Un des principales caractéristiques DMZ n'est pas seulement le filtrage du trafic sur le pare-feu interne, mais aussi l'exigence d'une cryptographie forte obligatoire dans l'interaction entre les équipements actifs du réseau interne et DMZ. En particulier, il ne devrait y avoir aucune situation dans laquelle il soit possible de traiter une requête du serveur dans DMZ sans autorisation. Si la DMZ est utilisée pour assurer la protection des informations à l'intérieur du périmètre contre les fuites internes, des exigences similaires sont imposées pour le traitement des demandes des utilisateurs provenant du réseau interne.

Dans cet article, je vais vous dire ce que c'est Hôte DMZ ou un serveur sur le routeur. Et aussi comment ouvrir des ports à l'aide de la fonction DMZ. Puisque vous lisez déjà cet article, vous savez probablement déjà ce qu'est un serveur virtuel et pourquoi vous devez le faire. Sinon, alors. Bref, vous devez ouvrir un port sur le routeur lorsque vous échangez des fichiers depuis votre ordinateur avec d'autres internautes. Par exemple, pour faire fonctionner un serveur FTP exécuté sur un PC domestique, ou un client torrent, ou jeu en réseau. Dans cet article, nous apprendrons comment ouvrir tous les ports à la fois à l'aide de l'hôte dit DMZ en utilisant l'exemple des routeurs TP-Link, Asus, Zyxel Keenetic et Tenda.

DMZ(« zone démilitarisée ») est une technologie avec laquelle vous pouvez ouvrir absolument tous les ports sur un appareil spécifique

Comment utiliser un serveur DMZ sur un routeur ?

En utilisant la méthode décrite ci-dessus, nous utilisons le routeur pour ouvrir un seul port pour un appareil du réseau. Grâce à un hôte DMZ, vous pouvez ouvrir plusieurs ports à la fois. Cependant, cela ne doit être fait que dans des cas extrêmes, car dans ce cas, l'appareil est entièrement accessible depuis Internet. Cependant, cela est parfois nécessaire, par exemple pour configurer la visualisation des caméras de vidéosurveillance connectées via un DVR, ou pour organiser un serveur de jeux.

Laissez-moi vous donner un exemple : souvent lors de la connexion d'un enregistreur de vidéosurveillance, le port 80 est utilisé par défaut et il est tout simplement impossible de le modifier dans les paramètres. En parallèle, ce port est également occupé sur le routeur et il ne sera pas possible de le rediriger. Dans ce cas, l'hôte DMZ du routeur vient à la rescousse.

Serveur DMZ virtuel sur le routeur Tenda

Dans les routeurs wifi Tenda, la fonction d'ouverture des ports s'appelle « Serveur virtuel ". Dans le panneau d'administration, il se trouve dans la section « Paramètres avancés - Serveur virtuel »

Mais vous devez d'abord attribuer une adresse IP statique à l'ordinateur sur lequel vous souhaitez effectuer une redirection de port, sinon la prochaine fois que vous l'allumerez via DHCP, le routeur risque de lui attribuer une adresse différente et tous nos paramètres seront perdus. Lisez comment procéder.

Lorsqu'une adresse spécifique est réservée à un ordinateur, saisissez-la dans la section « Serveur virtuel » dans la cellule « Adresse IP interne ».

• Port réseau local - sélectionnez celui qui convient le mieux à nos besoins dans la liste déroulante - ftp, http, pop3, SMTP, etc.
• Port WAN - indiquez la même chose que dans le cas précédent
• Protocole - définir TCP&UDP

Et cliquez sur le bouton « Ajouter »

Après avoir enregistré les paramètres, le port via le routeur Tenda s'ouvrira et nous pourrons facilement fournir un accès depuis Internet à certaines ressources de l'ordinateur.

L'activation de l'hôte DMZ sur le routeur wifi Tenda se fait en " Paramètres additionnels" Tout est simple ici - déplacez l'interrupteur à bascule en position marche et entrez l'adresse IP de l'ordinateur ou de tout autre appareil sur lequel nous voulons ouvrir tous les ports

Configuration de DMZ sur un routeur TP-Link

Fonction DMZ sur un routeur TP-Link nouvelle version L'interface Web se trouve dans « Paramètres avancés » dans la section « Redirection NAT - DMZ". Tout est simple ici : activez-le avec une coche et indiquez l'adresse IP de l'ordinateur sur lequel tous les ports s'ouvriront.

Hôte DMZ sur le routeur Asus

Sur le routeur Configuration Asus La DMZ hôte est identique, et elle se situe dans la section principale du menu « l'Internet»

Configuration de la DMZ Zyxel Keenetic

Le routeur Zyxel Keenetic a également une fonction similaire, mais elle ne s'appelle pas DMZ, mais est cachée dans le " Sécurité - Pare-feu«.

Tout d'abord, sélectionnez ici le type de réseau auquel nous souhaitons autoriser l'accès - il s'agit du réseau domestique ( réseau domestique)
Et puis cliquez sur le bouton « Ajouter une règle »

Ensuite, nous laissons tout par défaut, à l'exception d'un élément - "Adresse IP de destination". Ici, vous devez sélectionner « Un » et dans le champ de texte, écrivez l'adresse IP de l'ordinateur sur lequel vous devez ouvrir tous les ports. Veuillez noter que dans la colonne « Protocole » nous sélectionnons désormais TCP.

Nous faisons tout comme dans l'image ci-dessous :

Sur la ligne Keenetic DMZ mise à jour, il est également configuré dans le " Pare-feu". Cliquez ici « Ajouter une règle »

Nous l'allumons avec une coche et écrivons tout de la même manière que dans ancienne version Zyxel

Pour élargir vos horizons, je vous conseille également de lire les instructions de la société Seixel.

Vidéo sur la configuration de DMZ Host sur un routeur

L'abréviation DMZ signifie DeMilitarized Zone, c'est-à-dire « Zone démilitarisée ». On ne sait pas vraiment ce que cela a à voir avec le routeur. Cependant, en fait, c'est une chose très utile dans un certain nombre de cas. Ceci sera discuté dans cet article.

Objectif et utilisation de DMZ

Une DMZ est un segment de réseau créé pour les services et programmes nécessitant un accès direct à Internet. L'accès direct est nécessaire pour les torrents, les messageries instantanées, les jeux en ligne et certains autres programmes. Et vous ne pourrez plus vous en passer si vous souhaitez installer une caméra de vidéosurveillance et y avoir accès via Internet.

Si l'ordinateur sur lequel le programme est exécuté se connecte directement à Internet, en contournant le routeur, il n'est pas nécessaire d'utiliser DMZ. Mais si la connexion est établie via un routeur, il ne sera alors pas possible d'accéder au programme depuis Internet, car toutes les demandes seront reçues par le routeur et non transmises à l'intérieur du réseau local.

Pour résoudre ce problème, la redirection de port est généralement utilisée sur le routeur. Vous trouverez des informations à ce sujet sur notre site Web. Cependant, cela n’est pas toujours pratique et certaines personnes préfèrent créer une DMZ. Si vous configurez une DMZ sur votre routeur et y ajoutez le nœud de réseau souhaité, par exemple un PC exécutant un serveur de jeux ou un DVR auquel une caméra IP est connectée, ce nœud sera visible depuis le réseau externe comme s'il étaient directement connectés à Internet. Rien ne changera pour le reste des appareils de votre réseau : ils fonctionneront comme avant.

Vous devez faire attention à tous ces paramètres. Étant donné que la redirection de port et la DMZ constituent une faille de sécurité potentielle. Pour améliorer la sécurité dans grandes entreprises créent souvent un réseau séparé pour la DMZ. Afin de bloquer l'accès du réseau DMZ à d'autres ordinateurs, un routeur supplémentaire est utilisé.

Configuration de DMZ sur le routeur

Les routeurs ne permettent d'ajouter qu'un seul appareil à la DMZ. Le routeur doit recevoir une adresse IP « blanche ». Ce n'est que dans ce cas qu'il sera possible d'y accéder depuis réseau mondial . Des informations à ce sujet peuvent être obtenues auprès de votre fournisseur Internet. Certains fournisseurs fournissent gratuitement une adresse IP externe, mais ce service nécessite souvent des frais supplémentaires.

Définition d'une adresse IP statique

Seul un ordinateur avec une adresse IP statique peut être ajouté à la DMZ. Par conséquent, la première chose que nous faisons est de le changer. Pour ce faire, ouvrez les propriétés connexion réseau et dans les paramètres TCP/IP, nous enregistrons une adresse IP statique dans la plage d'adresses de votre réseau. Par exemple, si votre routeur a l'IP 192.168.0.1, vous pouvez spécifier 192.168.0.10 pour votre ordinateur. Le masque de sous-réseau standard est 255.255.255.0. Et dans le champ « Passerelle », vous devez indiquer l'adresse de votre routeur.

Veuillez noter que l'adresse IP attribuée à l'ordinateur ne doit pas être dans la plage d'adresses distribuées.

À ce stade, la configuration de l'ordinateur est terminée et vous pouvez procéder aux paramètres du routeur.

Configuration du routeur

La première étape consiste à activer DMZ sur le routeur, car elle est toujours désactivée par défaut.

Recherchez l'élément de menu correspondant dans l'interface Web de l'appareil:

• Sur Routeurs Asus l'onglet requis s'appelle DMZ.
• Sur Routeurs TP-Link ouvrez l'élément « Transfert » et il y aura un sous-élément DMZ.
• Chez D-Link, recherchez l'élément « Pare-feu ».

Dans tous les cas, dans l'onglet Paramètres, vous devez cocher la case « Activer ». Et à côté, recherchez un champ appelé « Adresse de l'hôte DMZ » ou « Adresse de la station visible » (selon le modèle de routeur, il peut y avoir d'autres options). Dans ce champ, nous saisissons l'adresse statique de l'ordinateur ou de tout autre appareil qui doit être ajouté à la DMZ. Dans notre cas, il s'agit de 192.168.0.10.

Enregistrez les paramètres et redémarrez le routeur. C'est tout : tous les ports du PC sélectionné sont ouverts. Tout programme utilisant des connexions entrantes pensera qu’il accède directement au réseau. Tous les autres programmes fonctionneront normalement.

Vous trouverez ci-dessous un exemple de configuration d'un routeur avec une interface en anglais.

Création d'une DMZ moyen pratique simplifiez votre travail programmes nécessaires, il convient toutefois de garder à l'esprit que accès libreà un PC augmente le risque d’attaques réseau et d’infection virale.

Par conséquent, il est nécessaire d'installer un pare-feu et un programme antivirus sur l'appareil utilisé comme hôte DMZ.

DMZ dans le routeur - Il s'agit d'une fonction qui vous permet d'ouvrir tous les ports externes pour une IP spécifique depuis le réseau local du routeur. Généralement utilisé pour mettre en œuvre accès à distanceÀ appareil spécifique situé derrière le routeur. La DMZ est particulièrement souvent utilisée pour accéder à partir de n'importe quel points Connexion Internet aux caméras IP ou DVR, ceux. pour la vidéosurveillance.

De nombreux routeurs Wi-Fi ont pour fonction de fournir un accès depuis un réseau externe aux appareils de leur réseau local (mode hôte DMZ, également appelé hôte exposé). Dans ce mode, l'appareil (ordinateur, DVR, caméra IP, etc.) a tous les ports ouverts sur le réseau local. Cela ne correspond pas tout à fait à la définition canonique d'une DMZ, puisqu'un appareil avec ports ouverts n'est pas séparé du réseau interne. Autrement dit, l'hôte DMZ peut se connecter librement aux ressources du réseau interne, tandis que les connexions au réseau interne depuis la DMZ canonique sont bloquées par le pare-feu qui les sépare, c'est-à-dire D'un point de vue sécurité, la solution n'est pas la meilleure. Il ne faut pas oublier qu'il ne s'agit que d'une façon parmi d'autres d'organiser l'accès à un appareil sur un autre réseau local. La redirection de port simple est également populaire. Il est également pris en charge par presque tous les routeurs modernes et moins modernes. Mais il y a une différence significative. N'importe quel écolier peut gérer la configuration d'une DMZ, mais la redirection de port n'est pas si facile pour une personne qui le fait pour la première fois.

DMZ est une solution complète et nécessite quelques étapes simples pour l'utiliser. Lors de la mise en œuvre, par exemple, de l'accès depuis Internet à un DVR, les éléments suivants sont requis :

1. Entrez le DVR IP dans les paramètres DMZ du routeur
2. Le routeur doit recevoir une IP permanente du fournisseur ou doit utiliser DDNS

Pourquoi DMZ nécessite-t-il une adresse IP permanente et pourquoi peut-elle être remplacée par DDNS ?

Tout est simple ici. Si votre fournisseur attribue différentes adresses IP à votre routeur, vous pouvez connaître l'adresse IP actuelle de votre routeur en utilisant le service DDNS. Et vous devez connaître cette même adresse IP pour vous connecter à distance à votre appareil. DDNS - permet aux utilisateurs d'obtenir un sous-domaine qui sera lié à la machine utilisateur. Connaissant ce sous-domaine, vous n'aurez pas à vous inquiéter, vous l'utiliserez à la place de l'IP. Cependant, une IP permanente auprès du fournisseur est à la fois plus simple et plus sûre, mais plus chère :)

Voyez comme c'est simple. C'est la commodité de DMZ. Un autre avantage est la possibilité de configurer un routeur sans savoir quel port sera sélectionné, par exemple, pour un DVR. Et par conséquent, une nouvelle modification du port d'accès, quels que soient les paramètres du routeur.

Transfert de ports via un routeur

Littéralement deux mots sur la redirection de port en général. La redirection de port pourrait être qualifiée de cas particulier de DMZ si la DMZ sous la forme sous laquelle elle est implémentée sur les routeurs domestiques ne serait pas apparue plus tard que le terme redirection de port. De nombreux utilisateurs ne comprennent pas la signification du mot port. Vous pouvez, si vous le souhaitez, considérer le port comme une marque numérique (sous forme de numéro) sur les paquets, permettant de trier les paquets d'informations selon leur destination. Une sorte d'outil de routage supplémentaire. En règle générale, les paramètres du routeur disposent d'une option de redirection de port. Pour ce faire, vous devez spécifier l'adresse IP de l'appareil sur le réseau du routeur, le port (c'est-à-dire l'étiquette même) via lequel cet appareil est accessible pour la gestion, le port externe est le port qui sera lié au port spécifié et l'adresse IP de l'appareil.

Conclusion:
DMZ est essentiellement une redirection de port vers une adresse IP spécifique sur le réseau local d'un routeur à partir d'un réseau externe. La différence avec la redirection de port est que dans le cas de DMZ, tous les ports possibles sont ouverts simultanément pour l'adresse IP spécifiée. Ceci n'est pas efficace du point de vue de la sécurité, mais cela simplifie grandement la configuration de l'accès à distance à n'importe quel appareil derrière le routeur. Cette fonctionnalité est généralement utilisée en vidéosurveillance.

À l'époque Cloud computing DMZ (zone démilitarisée, zone démilitarisée, DMZ - un segment de réseau physique ou logique qui contient et fournit des services publics à une organisation, et les sépare également des autres sections du réseau local, ce qui permet de fournir une protection supplémentaire à l'espace d'information interne contre les attaques extérieures) est devenue bien plus importante - et en même temps plus vulnérable que ses architectes d'origine n'auraient jamais pu l'imaginer.

Il y a dix ou vingt ans, lorsque la plupart des points finaux se trouvaient encore sur le réseau interne d'une entreprise, une DMZ n'était qu'une extension du réseau. Les utilisateurs situés en dehors du réseau local demandaient très rarement l'accès aux services internes et, à l'inverse, le besoin des utilisateurs locaux d'accéder aux services publics se faisait également rarement sentir, de sorte qu'à cette époque, la DMZ faisait peu pour fournir sécurité des informations. Qu’est-il arrivé à son rôle maintenant ?

Aujourd'hui, soit vous êtes un éditeur de logiciels, soit vous travaillez avec un grand nombre de prestataires de services SaaS (Software as a service, logiciel en tant que service). D'une manière ou d'une autre, vous devez constamment fournir un accès aux utilisateurs situés en dehors de votre réseau local ou demander l'accès à des services situés dans le cloud. En conséquence, votre DMZ est remplie à pleine capacité avec diverses applications. Et même si à l’origine la DMZ était destinée à servir de point de contrôle de votre périmètre, elle fonctionne aujourd’hui de plus en plus comme un panneau publicitaire externe pour les cybercriminels.

Chaque service que vous exécutez dans la DMZ est un autre message d'information aux pirates potentiels du nombre d'utilisateurs que vous avez, de l'endroit où vous stockez vos informations commerciales critiques et si ces données contiennent quelque chose qu'un attaquant pourrait vouloir voler. Vous trouverez ci-dessous quatre bonnes pratiques qui vous permettront d'activer et de configurer DMZ pour mettre fin à ce désordre.

1. Faites de la DMZ un segment de réseau véritablement distinct

L’idée de base d’une DMZ est qu’elle doit être véritablement séparée du reste du LAN. Par conséquent, vous devez activer différentes politiques de routage IP et de sécurité pour la DMZ et le reste de votre réseau interne. Cela rendra la vie beaucoup plus difficile aux cybercriminels qui vous attaquent, car même s'ils connaissent votre DMZ, ils ne pourront pas utiliser ces connaissances pour attaquer votre LAN.

2. Configurez les services à l'intérieur et à l'extérieur de la zone DMZ

Idéalement, tous les services situés en dehors de votre DMZ ne devraient établir qu'une connexion directe avec la DMZ elle-même. Les services situés à l'intérieur de la DMZ doivent se connecter à vers le monde extérieur uniquement via des serveurs proxy. Les services situés à l’intérieur de la DMZ sont plus sécurisés que ceux situés à l’extérieur. Les services mieux protégés devraient assumer le rôle du client lors des demandes provenant de zones moins sécurisées.

3. Utilisez deux pare-feu pour accéder à la DMZ

Bien qu'il soit possible d'activer DMZ en utilisant un seul pare-feu avec trois interfaces réseau ou plus, une configuration utilisant deux pare-feu vous fournira un moyen plus robuste de dissuader les cybercriminels. Le premier pare-feu est utilisé sur le périmètre extérieur et sert uniquement à diriger le trafic exclusivement vers la DMZ. Le second, le pare-feu interne, gère le trafic de la DMZ vers le réseau interne. Cette approche est considérée comme plus sûre car elle crée deux obstacles distincts et indépendants sur le chemin d'un pirate informatique qui décide d'attaquer votre réseau.

4. Mettre en œuvre la technologie d'accès inversé

La technologie Reverse Access de Safe-T rendra la DMZ encore plus sécurisée. Cette technologie à double serveur élimine le besoin d'ouvrir des ports sur le pare-feu, tout en fournissant en même temps un accès sécurisé aux applications sur les réseaux (via un pare-feu). La solution comprend :

• Serveur externe - installé dans le segment de réseau DMZ/externe/non protégé.
• Serveur interne - installé dans le segment de réseau interne/protégé.

Le rôle du serveur front-end, situé dans la DMZ de l'organisation (sur site ou dans le cloud), est de maintenir l'interface utilisateur côté client (front-end) vers les différents services et applications situés dans World Wide Web. Il fonctionne sans qu'il soit nécessaire d'ouvrir des ports sur le pare-feu interne et garantit que les réseau local Seules les données de session légitimes sont accessibles. Un serveur externe effectue un déchargement TCP, vous permettant de prendre en charge n'importe quelle application basée sur TCP sans avoir à déchiffrer les données de trafic SSL (Secure Sockets Layer).

Rôle serveur interne consiste à transmettre les données de session dans le réseau interne à partir d'un nœud SDA (Software-Defined Access) externe et, si la session est légitime, à exécuter la fonctionnalité proxy de couche 7 (déchargement SSL, réécriture d'URL, DPI (inspection approfondie des paquets, analyse détaillée des paquets). ), etc.) et transmettez-le au serveur d'applications adressé.

La technologie Reverse Access vous permet d'authentifier l'autorisation d'accès des utilisateurs avant qu'ils puissent accéder à vos applications critiques. Un attaquant qui accède à vos applications via une session malveillante pourrait sonder votre réseau, tenter des attaques par injection de code ou même se déplacer sur votre réseau. Mais sans la possibilité de positionner sa session comme légitime, l'attaquant qui vous attaque perd la plupart de ses outils, devenant ainsi beaucoup plus limité en ressources.

Paranoïaque éternel, Anton Kochukov.