Serveurs Web et pare-feu - Sécurité maximale contre les attaques

Si vous avez, ou envisagez de connecter des serveurs web à votre réseau, vous devrez prendre en considération ce que cela implique en terme de sécurité. Tout réseau qui dispose d'une connexion Internet est exposé au risque d'être compromis. Il y a plusieurs étapes qu'il est possible de suivre pour sécuriser votre LAN (Local Area Network, ou réseau local), la seule vraie solution consistant à bloquer tout trafic entrant sur votre LAN et de restreindre le trafic sortant.

Pourtant, certains services comme les serveurs web ou FTP nécessitent des connexions entrantes. Si ces services sont requis, vous devrez décider s'il est essentiel que ces serveurs fassent partie du LAN, ou s'ils peuvent être placés dans un réseau physiquement séparé appelé DMZ (ou zone démilitarisée si vous préférez son nom correct). Dans l'idéal, tous les serveurs de la DMZ seront des serveurs autonomes, avec des noms d'utilisateurs et des mots de passe uniques pour chacun d'entre-eux. S'il vous faut un serveur de sauvegarde pour les machines situées à l'intérieur de la DMZ, vous devrez alors faire l'acquisition d'une machine dédiée et conserver la solution de sauvegarde séparée de celle du LAN.

La DMZ accède directement au pare-feu, ce qui signifie qu'il existe deux routes en entrée et en sortie de la DMZ, le trafic vers et depuis l'Internet, et le trafic vers et depuis le LAN. Le trafic entre la DMZ et votre LAN et celui entre votre DMZ et l'Internet doivent être traités de manière complétement séparée. Le trafic entrant depuis l'Internet doit être routé directement vers votre DMZ. Par conséquent, si des attaquants arrivent à compromettre une machine située dans la DMZ, alors le seul réseau auquel ils auront accès sera la DMZ. Les attaquants n'auront aucun accès, ou très peu, au LAN (Local Area Network). De la même manière, toute infection virale ou autre problème ayant compromis la sécurité sur le LAN ne pourra pas migrer vers la DMZ.

Pour que la DMZ soit efficace, vous devez restreindre au maximum le trafic entre le LAN et la DMZ. Dans la majorité des cas, le seul trafic nécessaire entre ces deux réseaux se résume au FTP. Si vous n'avez pas d'accès physique aux serveurs, vous aurez aussi besoin de certains types de protocoles d'administration à distance comme terminal services, SSH, SCP, RSYNC etc.

Serveurs de bases de données
Si vos serveurs web ont besoin d'accéder à un serveur de bases de données, vous devrez alors penser à l'endroit où le placer. Le plus sûr est de créer encore un autre réseau physiquement séparé, appelé zone de sécurité, et d'y placer le serveur de bases de données. La zone de sécurité est également un réseau physique séparé connecté directement au pare-feu. Elle est par définition l'endroit le plus sûr du réseau. Le seul accès vers ou depuis la zone de sécurité doit être la connexion à la base de données depuis la DMZ (et le LAN si nécessaire).

Exceptions à la règle
Le dilemme auquel se trouvent confrontés les ingénieurs réseaux est de savoir où mettre le serveur de messagerie. Il a besoin d'une connexion SMTP vers l'Internet, et nécessite aussi un accès à un domaine depuis le LAN. Si vous placez ce serveur dans la DMZ, le trafic lié au domaine pourrait compromettre l'intégrité de la DMZ en en faisant une simple extension du LAN. Par conséquent, le seul endroit où placer un serveur de messagerie est sur le LAN, et le trafic SMTP doit être autorisé vers ce serveur. Si vos utilisateurs doivent accéder à leurs courriels depuis l'extérieur du réseau, il serait de loin beaucoup plus sûr de rechercher une solution du genre VPN.

Étiquettes et contributeurs liés au document

 Contributeurs à cette page : xdelatour
 Dernière mise à jour par : xdelatour,