Pour autant que je sache, en utilisant la DMZ, vous exposez tous les ports de l'ordinateur hôte à l'Internet. À quoi cela sert-il ?
La DMZ est utile si vous souhaitez disposer d'un serveur domestique accessible depuis l'extérieur de votre réseau domestique (c'est-à-dire un serveur web, ssh, vnc ou autre protocole d'accès à distance). En général, vous voudrez faire fonctionner un pare-feu sur la machine du serveur pour vous assurer que seuls les ports qui sont spécifiquement voulus sont autorisés à l'accès depuis des ordinateurs publics.
Une alternative à l'utilisation de la DMZ consiste à configurer la redirection de port. Avec la redirection de port, vous pouvez autoriser uniquement des ports spécifiques à travers votre routeur et vous pouvez également spécifier certains ports pour aller vers différentes machines si vous avez plusieurs serveurs qui tournent derrière votre routeur.
Soyez prudents, s'il vous plaît. La DMZ dans un environnement d'entreprise ou professionnel (avec des pare-feu haut de gamme) n'est pas la même que celle d'un routeur sans fil domestique (ou d'autres routeurs NAT à usage domestique). Vous devrez peut-être utiliser un second routeur NAT pour obtenir la sécurité attendue (voir l'article ci-dessous).
Dans l’épisode 3 du podcast Security Now de Leo Laporte et le gourou de la sécurité Steve Gibson, ce sujet a été abordé. Dans la transcription, voir près de “question vraiment intéressante parce que c'est la soi-disant "DMZ”, la zone démilitarisée, comme on l'appelle sur les routeurs".
De Steve Gibson, http://www.grc.com/nat/nat.htm :
“Comme vous pouvez l'imaginer, la machine "DMZ” d'un routeur, et même une machine “port forward” doit avoir une sécurité importante, sinon elle sera infestée de champignons Internet en un rien de temps. C'est un GRAND problème du point de vue de la sécurité. Pourquoi ? … un routeur NAT est doté d'un commutateur Ethernet standard qui interconnecte TOUS les ports de son réseau local. Il n'y a rien de “séparé” dans le port qui héberge la machine spéciale “DMZ”. Il se trouve sur le réseau local interne ! Cela signifie que tout ce qui peut s'y introduire par le port d'un routeur ou parce qu'il est l'hôte de la DMZ a accès à toutes les autres machines du réseau local privé interne. (C'est vraiment mauvais.)“
Dans l'article, il y a aussi une solution à ce problème qui consiste à utiliser un second routeur NAT. Il y a de très bons diagrammes pour illustrer le problème et la solution.
Une DMZ ou “zone démilitarisée” est l'endroit où vous pouvez installer des serveurs ou d'autres dispositifs qui doivent être accessibles depuis l'extérieur de votre réseau.
Qu'est-ce qui s'y trouve ? Serveurs web, serveurs proxy, serveurs de messagerie, etc.
Dans un réseau, les hôtes les plus vulnérables aux attaques sont ceux qui fournissent des services aux utilisateurs en dehors du réseau local, tels que les serveurs de courrier électronique, les serveurs web et les serveurs DNS. En raison du potentiel accru de ces hôtes à être compromis, ils sont placés dans leur propre sous-réseau afin de protéger le reste du réseau si un intrus devait réussir. Les hôtes de la DMZ ont une connectivité limitée à des hôtes spécifiques du réseau interne, bien que la communication avec d'autres hôtes de la DMZ et avec le réseau externe soit autorisée. Cela permet aux hôtes de la DMZ de fournir des services au réseau interne et au réseau externe, tandis qu'un pare-feu interposé contrôle le trafic entre les serveurs de la DMZ et les clients du réseau interne.
Dans les réseaux informatiques, une DMZ (zone démilitarisée), parfois aussi appelée réseau périphérique ou sous-réseau filtré, est un sous-réseau physique ou logique qui sépare un réseau local interne (LAN) d'autres réseaux non fiables, généralement l'internet. Les serveurs, les ressources et les services orientés vers l'extérieur sont situés dans la zone démilitarisée. Ils sont donc accessibles depuis l'internet, mais le reste du réseau local interne reste inaccessible. Cela apporte une couche de sécurité supplémentaire au réseau local, car cela limite la capacité des pirates à accéder directement aux serveurs et aux données internes via l'internet.