[Linux-bruxelles] Linksys By Cisco WAG320N et port ssh

Mar 18 Mai 17:08:52 CEST 2010

>> Le fait de mettre un pc en DMZ te permet de l'isoler du reste de ton
>> réseau en ne lui permettant pas d'avoir un accès direct aux machines
>> de ton réseau privé (de la même façon que les machines de ton réseau
>> privé ne peuvent avoir un accès direct au pc en DMZ).
>
> Ah bon ? j'ai compris tout le contraire car dmz signifie bien demilitarized
> zone, donc pas du tout armée ? ou es-ce un filtre sur les bons routeurs avec
> lequel on peut remettre de la sécu après l'avoir exposé ?

Il faut rappeler qu'à la base, InterNet(works) est une interconnexion
de réseaux (pouvant être réduit à une machine certes). En général, on
est dans un réseau (local donc) qui est relié à la toile (Internet
donc)... Par conséquence, les machines du réseau local ont accès à
Internet grâce à un ou plusieurs ponts (passerelles donc) que fait
leur réseau avec la toile. Dans un contexte de sécurité, l'extérieur
est méchant (il est en effet avéré qu'on ne peut pas faire confiance à
l'inconnu) ; ce qui implique normalement de s'en prémunir en
établissant une muraille (un parefeu donc)... Une fois le château fort
protégé par l'énorme fosse aux crocodile, seul le pont levis permet
l'accès à la cité ; et cela n'empêche pas les gardes qui font le
contrôle :) Cela empêche t-il vraiment la prise du château (aussi fort
soit-il) en l'assiégeant et le catapultant ? :S La solution est
d'avoir une zone de sécurité bien plus grande et conçue de telle façon
à tromper et dérouter les attaquants... (prenez par exemple la
muraille de Chine : une fois que les ennemis en arriveront au bout,
ils seront encore loin d'avoir pris Pékin !) mais on s'éloigne de nos
considérations. Dans les réseaux informatiques, les choses sont plus
simples : l'extérieur n'est pas en contact direct avec le réseau local
: l'extérieur croit traiter avec le réseau local (et vice-versa) mais
en réalité il y a un réseau tampon qui est appelé DMZ à cause de son
analogie avec une douane.

> Idem sous Belkin ils parlaient de "exposed pc" donc ça incarne bien l'idée
> de dmz si la terminologie est correcte ?!
>

En pratique, pour les particuliers (dans un contexte ADSL ou
similaire), le réseau local est créé par le box qui fait office de
passerelle (même si techniquement on ne peut pas dire cela) et de
routeur interne (en plus d'être serveur d'adresse IPs locales...) Si
le box a une fonction de parefeu, il devient donc un DMZ de façon
transparente ;)

>> Cela nécessite la mise en place d'un, voire 2 firewalls.
> Ah ok. ça signifie que tu l'exposes d'abord dans la dmz et définis par un
> bon firewall ce qui est et n'est pas accessible ?
>
Dans la configuration exacte, le parefeu interne (côté réseau local)
ne laisse entrer (dans le réseau local) que les demandes vers des
services autorisés et vers la bonne machine (c'est pour cela que je
parlais de zone tampon), tandis qu'il peut tout laisser sortir (en
général, il y a des ports autorisés). Les machines (en fait les
services/services) ainsi en accès sont dit exposés (car c'est comme
s'ils sont vraiment dans la zone, qui est le réseau que l'extérieur
voit, tandis que les autres machines sont masquées).
Idéalement, il faudrait qu'un second parefeu externe (côté Internet)
qui ne laisse entrer que les demandes vers des machines situées dans
la zone (pour une raison ou une autre, certaines machines peuvent être
entre les deux parefeu et donc être plus exposées) ou le parefeu
interne (les requêtes des utilisateurs du réseau local et les réponses
à ces requêtes sont donc tunnellées.. et par conséquent semblent
transiter désarmées dans un couloir sur..)