Discussion :

[Artemus24]

Salut à tous.

J'ai lu quelques sujets sur la DMZ, mais je n'ai pas bien compris en quoi elle consiste.
--> https://fr.wikipedia.org/wiki/Zone_d...(informatique)

1) c'est une redirection du flux entrant du routeur vers une adresse particulière.
Je prends l'exemple de ce que je trouve sur ma box SFR NB6v2.
En Ipv4, le préfixe de l'adresse est 192.168.1.x.
En Ipv6, c'est un sous-réseau différent de celui de l'adresse IPv6 de la box.
Pour être plus explicite, si le préfixe de l'adresse IPv6 de votre box est 2a02xxx:yyyy:50, alors celui du DMZ est 2a02xxx:yyyy:51.

2) tout ce passe comme si votre périphérique était directement sur internet, sans passer par votre box.
Donc tous les ports de la box sont ouverts. En général, on se sert de la DMZ, pour tester le pare-feu de son ordinateur.

En quoi la DMZ est un outil de sécurité ?
Comment l'utiliser ?

Merci.
@+

[JML19]

Bonsoir

La DMZ est une zone que l'on utilise pour être accessible depuis internet sans avoir besoin de rendre accessible le réseau local.

C'est en réalité une gestion du pare feux comme si celui ci protégeait deux réseaux différents.

Il n'y a pas de séparation entre les ports ou les adresses IP, il y a uniquement une gestion différente de l'IP mise en DMZ.

Par exemple j'ai le réseau 192.168.1.x

Toutes mes IP font parti de ce LAN.

J'ai le serveur 192.168.1.10 sur le LAN, il n'est pas accessible depuis internet.

Je le mets accessible depuis internet, de ce fait j'ouvre la porte à tout mon réseau 192.168.1.x au niveau du pare feux.

Maintenant je mets cette IP 192.168.1.10 en DMZ

Sans rien changer mon pare feux va se diviser en deux et considérer que cette IP doit être protégée différemment du LAN 192.168.1.x

Ceux qui accéderont à cette IP depuis internet seront filtrés par une section du pare feux différente du pare feux qui gérera le réseau 192.168.1.x

C'est juste une gestion logicielle du pare feux, finalement rien n'a changé dans ma Box.

Ce n'est pas que la DMZ est plus sécurisée, c'est que mon réseau LAN 192.168.1.x se trouve sécurisé par le pare feux qui protège la DMZ plus par le pare feux qui le protège, comme s'il y avait deux pare feux en cascade.

[Artemus24]

Salut JML19.

Merci pour ta participation.

La DMZ est une zone que l'on utilise pour être accessible depuis internet sans avoir besoin de rendre accessible le réseau local.

Je ne comprends pas trop ce que vient faire là, le réseau local.

Quand je suis dans la partie NAT de mon routeur et que je redirige disons vers mon ordinateur, explique moi comment un internaute pourrait avoir accès à l'un de mes périphérique de mon réseau local ?
En gros, c'est impossible car il n'y a aucune redirection qui permet de rendre ce périphérique accessible depuis l'internet.

C'est en réalité une gestion du pare feux comme si celui ci protégeait deux réseaux différents.

De quel pare-feu parlez-vous ? Celui du périphérique qui dans mon exemple serait celui de l'ordinateur ou bien celui du routeur ?
Encore qu'un pare-feu sur un routeur, ça n'existe pas vraiment. On parle plutôt de NAT.
Et tout ce que sait faire le NAT dans une box grand publique, c'est rediriger le flux entrant.
Il n'y a aucun contrôle en ce qui concerne le flux sortant et selon moi, il y a un problème de sécurité.

Il n'y a pas de séparation entre les ports ou les adresses IP, il y a uniquement une gestion différente de l'IP mise en DMZ.

Pas très clair, non plus. De quel ports parlez-vous ?

D'après ce que j'ai compris, la DMZ, c'est en gros une SANDBOX (bac un sable en français). Ou si vous préférez, il y a un cloisonnement.
C'est la nature de ce cloisonnement que je ne comprends pas, puisque la DMZ laisse passer tous les flux entrants vers ce périphérique.
Ou alors, je n'ai pas compris le rôle jouer par la DMZ.

Je le mets accessible depuis internet, de ce fait j'ouvre la porte à tout mon réseau 192.168.1.x au niveau du pare feux.

Non pas du tout. Si vous parlez d'un serveur (genre apache ou mysql), il aura accès uniquement à ce que le serveur autorise de faire et à rien d'autre.

Sans rien changer mon pare feux va se diviser en deux et considérer que cette IP doit être protégée différemment du LAN 192.168.1.x

C'est ça que je ne comprends pas. En quoi le fait de mettre une adresse IP en DMZ va l'isoler du reste du réseau ?
C'est le routeur qui décide comment "router" les flux entrants.
Si j'ouvre par exemple les ports 80 & 443 vers mon serveur apache, l'internaute n'aura pas accès au reste de mon réseau local. Il aura seulement accès au serveur.
C'est le principe même du NAT !

C'est juste une gestion logicielle du pare feux, finalement rien n'a changé dans ma Box.

Bien sûr qu'il y a quelque chose qui a changé dans votre box. Le fait de mettre telle adresse IP en DMZ, oblige le routeur à ne pas traiter le NAT et donc à ne pas filtrer les ports.
Autrement dit, tous les ports sont ouverts pour la DMZ.

En lisant quelques sujets, j'ai constaté que ce n'est pas nécessairement vrai, mais que la liste des ports est limités (21, 22, 80, 443).
Mais comme je ne suis pas sûr de cette information j'aimerai avoir confirmation !

Ce n'est pas que la DMZ est plus sécurisée, c'est que mon réseau LAN 192.168.1.x se trouve sécurisé par le pare feux qui protège la DMZ plus par le pare feux qui le protège, comme s'il y avait deux pare feux en cascade.

Désolé de le dire mais ce n'est pas très clair. C'est pourquoi, j'ai posé cette question qui me semble floue.

@+

[JML19]

Bonjour

Toutes les Box disposent d'un pare feux.

La DMZ c'est la gestion du pare feux de la Box ou du Routeur et rien d'autre, du moins c'est ce que j'en connais.

Ensuite si c'est plus complexe, je ne sais pas.

[Miistik]

Bonjour,

Tout d'abord, attention à ne pas confondre le NAT/PAT et les notions de firewall.

Le NAT/PAT permet d'utiliser une seule adresse IP publique pour un seul LAN.
Le NAT peut être utilisé en mécanisme de sécurité si on souhaite masquer les IPs d'un réseau spécifique.

Un firewall est un équipement de sécurité permettant d'autoriser ou bloquer des flux.
On peut donc régir les règles de communication entre les réseaux.
Il permet également de créer des VPNs.

Pour revenir sur le sujet, une zone démilitarisée (DMZ) est une zone logique réseau servant de passerelle entre le réseau externe (WAN) et le réseau interne (LAN).

Imaginons un site vitrine d'une entreprise.
Nous allons avoir un serveur de base de données et un serveur Web.
Pour que le site soit accessible depuis Internet, on va plaçer le serveur Web dans la DMZ et on place le serveur de base de données dans le LAN.
Par contre, on va limiter les échanges avec le LAN, c'est à dire que l'on va spécifier les flux autorisés.
Dans cet exemple, on va autoriser les accès entrants à destination du serveur web sur les ports tcp 80 443.
On va également autoriser les accès serveur Web (DMZ) vers la base de données (LAN) sur les ports adéquats.
Et nous allons refuser les autres accès entrants dans la DMZ et dans le LAN par exemple.

Nous avons ainsi exposer le serveur Web à Internet et protéger la base de données.

[Artemus24]

Salut à tous.

Toutes les Box disposent d'un pare feux.

Non, il n'y a pas de pare-feu dans ma BOX SFR modèle NB6V2-FXC-r0.
Dans l'onglet "réseau V6", il y a un sous-onglet qui se nomme "pare-feu", mais ce n'est pas un pare-feu comme celui de windows 10 pro.
C'est en fait un NAT (Network address translation) que SFR à traduit par "Filtrage d'adresses".
Et dans la page, il y a aussi "UPnP v6", "Ping v6", "DMZ pour l'IPv6" et "filtrage".
Avec un vrai pare-feu, je pourrais interdire l'accès à mon routeur pour une adresse IP en particulier, ce que je ne peux pas faire avec ma BOX SFR.

Tout ce que je peux faire, c'est rediriger n'importe quelles adresses IP venant d'internet, en sélectionnant tel ou tel port, et c'est tout.
ET ces règles, éventuellement, je peux les désactiver si je n'en ai plus besoin. Sans ces règles, rien ne passe dans ma BOX SFR.
De même, je ne peux pas interdire les flux sortants. Je n'ai aucun moyen de faire ce genre de filtre.

C'est un abus de langage des constructeurs de BOX de nommer "pare-feu" ce qui n'en ai pas un.
Voici l'image de ce que je viens de vous parler dans ma BOX SFR que j'ai trouvé sur le net :



Ce que vous me montrer semble être une configuration pour débutant.
Je ne voie pas non plus la partie consacré au DHCP, DNS, au filtrage MAC ...

La DMZ c'est la gestion du pare feux de la Box ou du Routeur et rien d'autre, du moins c'est ce que j'en connais.

D'après ce que j'ai pu comprendre, il n'y a aucune gestion du pare-feu de la Box, pour la simple raison que le pare-feu n'existe pas dans une box.

L'image que j'ai de la DMZ dans un routeur, c'est comme le "bypass" des adoucisseurs.
L'eau venant de l'extérieur peut être dérouté par l'intermédiaire d'un robinet qui permet soit de passer par l'adoucisseur, soit non.

La DMZ ne filtre strictement rien dans la BOX car on s'en sert aussi pour tester l'ouverture des ports au travers de mon pare-feu windows qui se trouve sur mon ordinateur.
Et comme c'est un "bypass", les autres fonctionnalités de la BOX ne sont pas utilisés, ce qui interdit de ce fait les autres accès au réseau local.
Seul l'adresse IP spécifié pour la DMZ aura le flux entrant redirigé vers ce périphérique sans filtrage (enfin c'est ce que j'ai compris et je demande une confirmation).

Tout d'abord, attention à ne pas confondre le NAT/PAT et les notions de firewall.

Je connais le NAT mais pas le PAT. Je vieux de faire une recherche sur le net et j'ai trouvé "Port Address Translation".
En fait dans ma BOX SFR, c'est une sélection par port avec une redirection vers une adresse IP (NAT Overloading).
--> https://www.culture-informatique.net...t-quoi-le-pat/

Le NAT/PAT permet d'utiliser une seule adresse IP publique pour un seul LAN.

Tout dépend ce que vous nommez adresse IP publique.
Dans le cas de l'IPv4, oui, vous avez une seule adresse IP publique ou WAN qui identifie votre BOX.
Dans le cas de l'IPv6, non, car même si l'adresse IP possède le même préfixe (64 premier bits), le suffixe change (les 64 dernier bits).
En fait, le NAT/PAT ne sert à rien dans le cas de l'IPv6 sauf à interdire ou rediriger le flux entrant ailleurs.

Vous me dites si je me trompe car j'essaye de comprendre ces particularités.

Le NAT peut être utilisé en mécanisme de sécurité si on souhaite masquer les IPs d'un réseau spécifique.

En reprenant le lien ci-dessus, ce que j'aime c'est le principe du standard téléphonique.
La nécessité de passer par la box afin de rediriger le flux entrant en provenance d'internet.
Un accès direct (adresse IP + port) ne me plait pas comme l'exemple donné dans le lien.

Il permet également de créer des VPNs.

Non, un VPN, c'est une encapsulation d'un flux ou si vous préférez un tunnel.
Ou si vous préférez, on crée un canal entre deux ordinateurs comme s'ils étaient dans le même réseau local, alors qu'ils sont distants au travers d'internet.

Le danger de ce type de communication, c'est que vous ne pouvez pas filtrer (pare-feu) ce qui est acheminé par le VPN.

Les protocoles utilisés pour le VPN sont "GRE", "PPTP", "IPsec", "SSH" ...

Pour revenir sur le sujet, une zone démilitarisée (DMZ) est une zone logique réseau servant de passerelle entre le réseau externe (WAN) et le réseau interne (LAN).

Cette définition me plait plus ! Donc l'ordinateur qui est dans la zone démilitarisée est une passerelle.

Dans cet exemple, on va autoriser les accès entrants à destination du serveur web sur les ports tcp 80 443.

Et vous faites cela comment ?

Si le serveur WEB est dans la DMZ, votre ordinateur est donc nécessairement une passerelle.
Cela signifie que vos autorisations se font au travers d'une pare-feu dans l'ordinateur servant de serveur WEB.

On va également autoriser les accès serveur Web (DMZ) vers la base de données (LAN) sur les ports adéquats.

Et je suppose que cela se fait toujours au travers du même pare-feu de l'ordinateur hébergeant votre serveur WEB.
Et la même chose sur l'ordinateur hébergeant votre serveur SGBDR (base de données).

Et nous allons refuser les autres accès entrants dans la DMZ et dans le LAN par exemple.

Je comprends moins bien cette phrase. Pouvez-vous détailler un peu plus votre remarque ?

Par contre, vous ne pouvez pas interdire les accès entrants dans le routeur lorsque vous faites une DMZ.
En tout cas, dans la BOX SFR, rien n'indique que l'on peut faire cela. La DMZ, c'est juste une redirection globale vers une adresse IP spécifique.
Toutes les autres adresses spécifiées dans la BOX quand la DMZ est activée, sont ignorées.

Normalement, le réseau fonctionne en éthernet et procède par diffusion.
Il faut aussi dans le pare-feu des deux serveurs autoriser ou interdire les flux ayant comme adresse distante, celle indiqué par la DMZ.
Sinon, le flux pourrait être traité, ce qui serait une faille de sécurité.

Nous avons ainsi exposer le serveur Web à Internet et protéger la base de données.

Oui, vous avez raison, mais c'est une solution de riche car vous avez besoin de deux ordinateurs pour réaliser cela.

En général, on met le serveur web (APACHE) et le serveur SGBDR (MYSQL) sur le même ordinateur.
On configure la sécurité local de l'ordinateur en faisant en sorte de mettre les deux serveurs dans des répertoires différents.
L'un (serveur WEB) aura la règle "tous le monde" avec "lecture" et "exécution", tandis que l'autre (serveur SGBDR) aura la règle "tous le monde" à refusée, mais aura une autre règle "system" ou "compte" autorisé.

En fait, il faut protéger le répertoire contenant le serveur SGBDR et en particulier les données de toutes les intrusions venant d'internet et du réseau local.

Pour revenir sur le sujet, une zone démilitarisée (DMZ) ...

Merci pour les explications. Je n'avais pas envisagé le cas de la passerelle.

Sinon, pour un particulier comme moi, et hormis le test des ports de mon pare-feu sur mon ordinateur, ça sert à quoi la DMZ ?
Y-a-t-il un autre usage que la passerelle ?

Merci à vous deux pour vos interventions !

@+

[JML19]

Pare feux et filtrage d'adresse IP où est la différence ?

Un filtrage d'adresse IP qui à l'origine s'appelait passerelle filtrante est aussi un pare feux non paramétrable, NON ?

Extrait de commentcamarche.com

Le filtrage simple de paquets
Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais « stateless packet filtering »). Il analyse les en-têtes de chaque paquet de données (datagramme) échangé entre une machine du réseau interne et une machine extérieure.

Ainsi, les paquets de données échangée entre une machine du réseau extérieur et une machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall : •adresse IP de la machine émettrice ;
•adresse IP de la machine réceptrice ;
•type de paquet (TCP, UDP, etc.) ;
•numéro de port (rappel: un port est un numéro associé à un service ou une application réseau).

[Artemus24]

Salut JML19.

Cela dépend de la définition que l'on donne au pare-feu et au filtrage. Ainsi que l'opération qui est réalisé derrière.

Pour moi, le pare-feu est associé à un programme qui reçoit ou émet des trames.
On autorise ou on interdit selon les adresses et/ou les ports destinataires ou sources selon les trames.
Donc je peux interdire une source pour un programme et l'autoriser pour un autre programme.

Le filtrage, tel que je le comprends dans la BOX SFR, ne permet pas de faire cette distinction au niveau de la trame.
Il interdit toutes les sources ou ils les autorisent toutes. Le filtrage est donc moins fin que celui du pare-feu.

@+

[JML19]

Salut JML19.

Cela dépend de la définition que l'on donne au pare-feu et au filtrage. Ainsi que l'opération qui est réalisé derrière.

Pour moi, le pare-feu est associé à un programme qui reçoit ou émet des trames.
On autorise ou on interdit selon les adresses et/ou les ports destinataires ou sources selon les trames.
Donc je peux interdire une source pour un programme et l'autoriser pour un autre programme.

Le filtrage, tel que je le comprends dans la BOX SFR, ne permet pas de faire cette distinction au niveau de la trame.
Il interdit toutes les sources ou ils les autorisent toutes. Le filtrage est donc moins fin que celui du pare-feu.

@+

Bonjour

C'est donc un pare feux non paramétrable simplement.

Maintenant rien n'interdit qu'il soit divisé en deux (deux passerelles filtrantes) même encore non paramétrable.

[Miistik]

Bonjour,

Vos définitions de la DMZ me dérangent.

Il y a une différence entre une DMZ d'entreprise et ce que vous essayez de faire avec votre box.

Dans le cas d'une entreprise, nous aurons un firewall.
Pour schématiser, ce firewall aura trois interfaces : une pour le LAN, une pour le WAN connecté à Internet et une pour la DMZ.
C'est dans ce sens que j'utilisais la notion de zone réseau logique "passerelle", c'est à dire que très peu de flux passent directement de la zone WAN à la zone LAN.
Une fois ceci en place, nous avons autoriser/bloquer les flux pour protéger le LAN du WAN et mettre en visibilité internet certains serveurs par le biais de la DMZ.

Tout dépend ce que vous nommez adresse IP publique.
Dans le cas de l'IPv4, oui, vous avez une seule adresse IP publique ou WAN qui identifie votre BOX.
Dans le cas de l'IPv6, non, car même si l'adresse IP possède le même préfixe (64 premier bits), le suffixe change (les 64 dernier bits).
En fait, le NAT/PAT ne sert à rien dans le cas de l'IPv6 sauf à interdire ou rediriger le flux entrant ailleurs.

Vous me dites si je me trompe car j'essaye de comprendre ces particularités.

Effectivement, le NAT/PAT est un des mécanismes qui ont pour but de pallier au manque d'adresses IPv4 publiques.
Dans le cadre d'IPv6, le NAT/PAT est beaucoup moins utilisé.
Attention, interdire et/ou rediriger le flux entrant ailleurs sont des fonctions de firewalls et de routage.

En reprenant le lien ci-dessus, ce que j'aime c'est le principe du standard téléphonique.
La nécessité de passer par la box afin de rediriger le flux entrant en provenance d'internet.
Un accès direct (adresse IP + port) ne me plait pas comme l'exemple donné dans le lien.

Lorsque j'évoquais, utiliser le NAT pour masquer l'adressage d'un réseau spécifique, c'est littéralement vrai.
Imaginons une partie d'un LAN qui correspond à un réseau industriel en 10.0.0.0/24 par exemple.
Ce réseau a besoin d’accéder à des mises à jour constructeurs.
Il peut être recommandé de passer par un routeur intermédiaire au routeur Internet afin de modifier le réseau et ainsi "cacher" 10.0.0.0/24.
Seul ce routeur connaîtra le réseau industriel.

Lorsque je parlais de VPN, je donnais une des autres fonctions possibles d'un firewall.

Cette définition me plait plus ! Donc l'ordinateur qui est dans la zone démilitarisée est une passerelle.

Non, la DMZ est une passerelle.
Comme je l'ai dit elle permet de mettre en visibilité restreinte un ou des serveurs pour des besoins précis.
Ces serveurs vont ensuite devoir atteindre la zone LAN pour enrichir une base de données par exemple.
Vous pouvez regarder le Zone Based Firewall (ZBF), je pense que vous verrez plus clair ensuite.

Toute mon explication sur les flux qui seront autorisés/bloqués entre les zones LAN/WAN/DMZ se configurent sur un routeur ou firewall.

Encore une fois, ne confondez pas un réseau domestique d'un particulier avec le SI d'une entreprise.

Pour être honnête, dans votre cas, je ne vois pas l'intérêt d'une DMZ.
Pourquoi voulez-vous l'utiliser ?
Quels sont vos besoins ?

Une DMZ permet deux choses grossièrement : mettre en visibilité Internet un ou des serveurs (applications ou services), régir les flux internes DMZ->LAN.

[Artemus24]

Salut à tous.

C'est donc un pare feux non paramétrable simplement.

Pour moi, non, ce n'est pas un pare-feu mais un NAT.

Le NAT redirige le flux entrant vers tel ou tel périphérique.
S'il y a aucune déclarative dans le NAT, rien n'est redirigé.

Vos définitions de la DMZ me dérangent.

Je l'espère car je ne maîtrise pas du tout ce sujet.
Et donc, je fais appel à vos connaissances en ce domaine pour nous éclairer.

Il y a une différence entre une DMZ d'entreprise et ce que vous essayez de faire avec votre box.

Dois-je comprendre que la BOX SFR ou si vous préférez les BOX pour particuliers, sont très limitées en fonctionnalités ?

Effectivement, le NAT/PAT est un des mécanismes qui ont pour but de pallier au manque d'adresses IPv4 publiques.

Sur ce point, je pense avoir compris la différence qui existe entre l'IPv4 et l'IPv6.

Dans le cadre d'IPv6, le NAT/PAT est beaucoup moins utilisé.

En IPv6, comme nous n'avons pas besoin de rediriger le flux entrant vers tel ou tel périphérique (l'adresse IPv6 est déjà porteuse de cette information), le NAT a juste le rôle d'une barrière douanière, c'est-à-dire autoriser ou interdire le flux.
Enfin, c'est comme ça que je le comprends.

Attention, interdire et/ou rediriger le flux entrant ailleurs sont des fonctions de firewalls et de routage.

Ah bon ?

En ce qui concerne le routage, je n'ai pas bien compris son utilisation.
Est-ce modifier l'adresse destinataire vers autre chose ?

Il peut être recommandé de passer par un routeur intermédiaire au routeur Internet afin de modifier le réseau et ainsi "cacher" 10.0.0.0/24.

Vous cachez 10.0.0.0/24 d'un autre réseau LAN de votre entreprise.
Le routeur internet ne sert qu'à communiquer avec l'extérieur.
A moins de me tromper, vous devez utiliser un autre routeur pour filtrer le flux entre deux LAN.

Seul ce routeur connaîtra le réseau industriel.

Lequel des deux routeurs ? Celui intermédiaire entre deux LAN ou celui vers Internet ?

Non, la DMZ est une passerelle.

Je ne suis pas d'accord avec vous !

Une passerelle est un dispositif de niveau 4 dans le modèle ISO (couche transport).
Or j'ai une BOX qui fait office de modem/routeur et celle-ci est un dispositif de niveau 3 dans le modèle ISO (couche réseau).
--> http://cerig.pagora.grenoble-inp.fr/...ite/Page03.htm

Donc a priori, une passerelle c'est un ordinateur pouvant faire le lien entre deux réseaux ayant des protocoles différents (par exemple TCP/IP (d'Internet) et IPX/SPX (de Novell)).
Dans le cas de la BOX SFR, c'est dans tous les cas du TCP/IP.

Comme je l'ai dit elle permet de mettre en visibilité restreinte un ou des serveurs pour des besoins précis.
Ces serveurs vont ensuite devoir atteindre la zone LAN pour enrichir une base de données par exemple.

Ca, je l'ai compris, mais ce n'était pas ma question, même si elle est tout de même fort intéressante.

Ce que j'aurai aimé savoir sur le DMZ, c'est s'il y a un filtrage du flux entrant ou pas ?

Vous pouvez regarder le Zone Based Firewall (ZBF), je pense que vous verrez plus clair ensuite.

Je ne connais pas.

Encore une fois, ne confondez pas un réseau domestique d'un particulier avec le SI d'une entreprise.

Je pense qu'à mon sujet, vous avez raté une information essentielle.
Je suis un particulier et je parle de la DMZ de ma BOX SFR NB6v2.
Je n'ai aucun rapport avec un réseau d'entreprise ou quoi que ce soit d'autre avec le professionnalisme d'un ingénieur réseau comme vous.

Pour être honnête, dans votre cas, je ne vois pas l'intérêt d'une DMZ.

C'est justement ma question !

Pourquoi voulez-vous l'utiliser ?

Tout ce que j'ai pu comprendre de la DMZ, c'est que le flux entrant en provenance d'internet n'est pas filtré mais est redirigé vers l'adresse IP spécifié.
C'est ce qui me permet entre autre de tester l'ouverture des ports de mon pare-feu sur mon ordinateur windows 10 Pro.

Ma question est d'ordre générale, genre à quoi peut servir la DMZ dans la BOX SFR NB6v2.

Quels sont vos besoins ?

Suite, comme vous devez certainement le savoir, il y a eu une vague d'attaque mondiale, de type ransonware.
Tout ce que j'essaye de faire, c'est augmenter la sécurité de mon réseau local.

A vous comprendre, et hormis le test ponctuel de l'ouverture de mes ports, la DMZ ne me sert à rien. Est-ce bien cela ?

Si vous pouviez m'aider sur un autre sujet que j'ai ouvert fin juin, vu votre compétence dans le domaine des réseau, je vous en serais très reconnaissant.
--> https://www.developpez.net/forums/d1...a/#post9480911

Merci à tous.
@+

[JML19]

Le NAT de redirige rien, je ne comprends pas votre définition du NAT.

Le NAT permet seulement d'utiliser des adresses locales identiques sur tous les LAN de particulier et d'utiliser une IP WAN routable unique dès qu'il s'agit de naviguer sur Internet.

Vous faites énormément de confusion entre les différentes liaisons LAN et WAN ainsi que l'utilisation très simple pourtant de tous les appareils de liaison.

Ceci vient du fait que vous n'en connaissez pas l'origine et que vous n'avez pas suivi leurs évolutions.

Un NAT ne redirige rien, c'est le rôle d'une passerelle et si elle est filtrante, maintenant on l'appelle un pare feu simplement.

Sinon vous serez obligé d'inscrire le NAT dans la paramétrage IP de votre machine, comme vous inscrivez une passerelle ou un DNS.

[Artemus24]

Salut JML19.

Le NAT ne redirige rien, je ne comprends pas votre définition du NAT.

Lisez ce sujet et vous comprendrez mieux :
--> https://fr.wikipedia.org/wiki/Networ...ss_translation

Un flux entrant arrive avec l'adresse IPv4 qui est l'adresse publique ou WAN de votre box.
Comment faites-vous pour rediriger le flux entrant vers l'adresse IP local du genre 192.168.1.x ?

Et bien c'est le rôle du NAT de faire cette redirection.

Et le NAT se situe dans la BOX ou le routeur. Cela n'a aucun rapport avec un ordinateur.

@+

[JML19]

Salut JML19.


Lisez ce sujet et vous comprendrez mieux :
--> https://fr.wikipedia.org/wiki/Networ...ss_translation

Un flux entrant arrive avec l'adresse IPv4 qui est l'adresse publique ou WAN de votre box.
Comment faites-vous pour rediriger le flux entrant vers l'adresse IP local du genre 192.168.1.x ?

Bien sur c'est le rôle du NAT de faire cette redirection, mais d'aucune façon on ne peut assimiler le NAT à un pare feu, celui ci ne protège rien.

De plus sur le LAN les adresses IP sont connues puisqu'il y a une règle pour les attribuer.

Il faut faire attention à Wikipédia souvent les commentaires sont des conclusions hâtives.

Lorsque les paquets passent à travers la machine-passerelle NAT, ils sont modifiés de telle façon à ce qu'ils semblent provenir de la passerelle NAT.

Cette passerelle enregistrera les modifications effectuées dans sa table d'état afin de :

1. inverser les modifications pour les paquets de retour

2. s'assurer que les paquets de retour sont autorisés à traverser le pare-feu et ne sont pas bloqués.

[Artemus24]

Salut JML19.

Bien sur c'est le rôle du NAT de faire cette redirection, mais d'aucune façon on ne peut assimiler le NAT à un pare feu, celui ci ne protège rien.

Il faudrait savoir. Un coup, vous me dites que le NAT ne fait pas de redirection, un coup vous me dites exactement le contraire.
De plus, je n'ai jamais assimilé le NAT à un pare-feu.
C'est d'ailleurs pourquoi, j'ai nommé cela un filtre qui ne protège pas comme vous dites, mais qui redirige le flux entrant.
Et comme je l'ai dit, je fais bien la distinction avec un vrai pare-feu comme celui de windows 10.

Miistik me fait cette remarque :

Attention, interdire et/ou rediriger le flux entrant ailleurs sont des fonctions de firewalls et de routage.

Je ne vais pas le contredire sur le jargon qu'il fait usage dans son métier du réseau.
Mais rediriger pour moi est bien une fonction d'un routeur. D'ailleur routeur prend son nom dans le routage des adresses IP.
Interdire ou autoriser est bien celle d'un pare-feu.
Or les fonctionnalité d'autorisation ou d'interdiction n'existe pas dans la BOX SFR NB6v2.
C'est juste de la redirection et cela se trouve dans l'onglet NAT.
Maintenant, si SFR nomme cela pare-feu dans la partie réseau V6 (voir mon image) c'est son problème.
Pour moi, ce n'est pas un pare-feu, mais juste un NAT ou un PAT.

Pour la partie réseau v4 (ipV4), pour l'onglet NAT, nous avons :
--> nom de la règle.
--> protocole TCP ou UDP ou les deux.
--> type (port ou plage).
--> port externe.
--> ip de destination.
--> port de destination.
--> activer ou désactiver la règle.

A l'inverse, dans la partie réseau v6 (IPv6), pour l'onglet pare-feu, ce n'est pas exactement la même chose :
--> nom de la règle.
--> IP source (Internet)
--> protocole TCP ou UDP ou les deux.
--> type (port ou plage).
--> port externe.
--> ip de destination.
--> activer ou désactiver la règle.

Pour l'IPv6, on remarque qu'il y en plus "IP source (Internet)" en en moins "port de destination".

C'est pourquoi quand vous m'avez montré le pare-feu sur votre BBOX (Bouygues Box), cela m'a grandement surpris, car je n'ai rien d'équivalent dans la BOX SFR.

De plus sur le LAN les adresses IP sont connues puisqu'il y a une règle pour les attribuer.

L'attribution des adresses IP du réseau local se fait par le protocole DHCP qui se trouve dans la BOX SFR.
Les adresses IP de mes périphériques sont des adresses fixes, autres que celles attribuée dynamiquement par le DHCP.

Il faut faire attention à Wikipédia souvent les commentaires sont des conclusions hâtives.

Je sais très bien que les informations présentes sur internet ne sont pas toujours très fiables.
Et comme la plupart du temps, ils se copient les uns les autres, et il arrive qu'une connerie soit véhiculé sans qu personne le remarque !

J'ai pas mal de bouquins sur les bases de données, les réseaux, Merise, les langages de programmation ...

@+

[JML19]

Effectivement j'ai employé un mauvais terme.

Un pare feu ne dirige pas les flux, il les filtre les contrôles pour les réglementer.

Ce que je ne comprends pas c'est, vous faites comment pour savoir que le pare feu dans votre Box que je ne connais pas est un NAT ?

Parce que lorsque vous sélectionnez le pare feu vous tombez sur filtrage d'adresses ?

S'il s'agissait d'un NAT il y aurait marqué redirection d'adresses non ?

[Artemus24]

Salut JML19.

Un pare feu ne dirige pas les flux, il les filtre les contrôles pour les réglementer.

Tout à fait ! Il autorise ou interdit les flux entrants et sortants par rapport à des règles associés en général à des programmes.
Pour s'en rendre compte, il suffit de jeter un coup d'oeil dans celui de Windows 10 :
--> panneau de configuration
--> pare-feu windows
--> paramètres avancés.
Vous avez deux subdivisions qui sont :
--> règle de trafic entrant
--> règle de trafic sortant.

Ce que je ne comprends pas c'est, vous faites comment pour savoir que le pare feu dans votre Box que je ne connais pas est un NAT ?

Comme je l'ai dit précédemment, il n'y a pas de pare-feu dans ma BOX SFR, au sens de ce que j'ai dans mon ordinateur Windows 10.
Il y a un ensemble d'onglet dont deux en particulier qui sont "réseau v4" et "réseau v6".
Et dans ces onglets, il y a des sous-onglets qui dans "réseau v4" se nomme "NAT" et dans "réseau v6" par abus de langage, se nomme "pare-feu" et que je considère aussi comme un "NAT".

Le NAT que se soit pour "réseau v4" ou "réseau v6" interdit le flux entrant.
Je suis obligé de créer une règle si je veux rediriger tel type de flux vers tel périphérique.
Inversement, tous les flux sortants sont autorisés.

Je reconnais que toutes les box et de surcroît les routeurs ne sont pas configurés de la même façon.
Nous avons la chance d'avoir une interface graphique, ce qui permet de faire une saisie plus que facile.
Comme ces box sont destinés au grand publique, il y a un mode disons néophyte qui permet de faire du paramétrage basique.
Je suppose que dans votre Bouygues Box, vous avez une mode administrateur.
Vous devriez trouvez là, la partie consacré au NAT/PAT.

Les routeurs professionnels nécessite de paramétrer un script et ensuite de le charger.
C'est lourd à faire et une erreur est vite arrivée.

La dernière fois que j'ai mis mon nez dans un routeur professionnel, cela remonte à plus de vingt ans, et je pense que depuis, ils ont fait des progrès coté ergonomie.

Parce que lorsque vous sélectionnez le pare feu vous tombez sur filtrage d'adresses ?

Dans le sous-onglet "NAT" de l'onglet "Réseau v4", le titre est "Redirection de ports".
Dans le sous-onglet "pare-feu" de l'onglet "Réseau v6", le titre est "Filtrage d'adresses".

S'il s'agissait d'un NAT il y aurait marqué redirection d'adresses non ?

Et bien non, car en fait le NAT est un PAT, si je ne me trompe pas.
En ce qui concerne "Réseau v6", c'est plutôt un filtrage.
Pour moi, et cela n'engage que moi, c'est plutôt une redirection du flux entrant dans le sens le plus général (NAT ou PAT) mais certainement pas un pare-feu !

Et si nous revenions à ma question d'origine, sur la zone démilitarisée ?

@+

[Vil'Coyote]

je vais juste reprendre les points suivant :

2) tout ce passe comme si votre périphérique était directement sur internet, sans passer par votre box.
Donc tous les ports de la box sont ouverts. En général, on se sert de la DMZ, pour tester le pare-feu de son ordinateur.

En quoi la DMZ est un outil de sécurité ?

la première règle d'une dmz c'est que tous ce qui si trouve est jetable.

Ensuite, oui cela fonctionne comme si le périphérique était branché à internet mais pas comme tu l'indique. on doit forcément passer par la box pour y accéder. D'où la nécessiter de faire du Nat mais aussi du firewalling. Ceci dans le but de dire ce qui rentre sur la box en connexion http va sur les ip de DMZ en déclarant les ports est protocole autorisés. Donc la DMZ n'est pas un outil sécurisé c'est un outil à sécurisé permettant de diffuser des informations issue d'un réseau privé sur internet.


Par contre sur la NB6V2-FXC-r0, je ne me rappel pas avoir vue la notion de dmz dans les options ...

[JML19]

Bonjour

Pour moi la DMZ est une division du pare feu pour séparer la partie DMZ du reste du réseau.

Cette fonction de division du pare feu augmente la sécurité puisque même si elle rend visible la zone DMZ depuis internet, elle met une barrière supplémentaire pour le reste du réseau.

Maintenant si dans votre Box ce n'est pas le cas, alors la DMZ n'a aucune utilité.

Pour faire simple, si je bloque cette adresse IP 98.75.100.65 sur un pare feu.

Je n'ai donc qu'un pare feu pour bloquer cette adresse.

Admettons maintenant que je divise ce pare feu en deux.

Dans la partie DMZ le serveur 192.168.1.1 sera accessible depuis internet, mais mon adresse 98.75.100.65 sera quand même bloqué même pour la DMZ.

Ce qui fait qu'elle sera aussi bloquée pour la deuxième partie du pare feu qui protège le reste du réseau.

Donc si un hacker qui utilise cette IP fait franchir la première partie du pare feu, il atteindra la DMZ mais il faudra ensuite qu'il franchisse la deuxième partie du pare feu.

Ce qui lui sera difficile, dans la zone DMZ il n'aura pas la main pour le faire, ceci dépend de la constitution d'un pare feu.

S'il est possible de franchir un pare feu, il est presque impossible d'en prendre la main.

C'est comme si j'avais deux plaques avec deux trous successifs, par ces trous je veux faire passer une bille.

Avec ma main je fais passer la bille dans le premier trou.

Pour franchir le deuxième trou, il faut cette fois ci que je fasse passer la main dans le premier trou, ce qui n'est pas possible puisqu'il est prévu pour faire passer la bille.

[Miistik]

Bonjour,

C'est comme si j'avais deux plaques avec deux trous successifs, par ces trous je veux faire passer une bille.

Avec ma main je fais passer la bille dans le premier trou.

Pour franchir le deuxième trou, il faut cette fois ci que je fasse passer la main dans le premier trou, ce qui n'est pas possible puisqu'il est prévu pour faire passer la bille.

C'est l'idée.

On veut rendre un service accessible sur Internet.
Le problème vient du fait que seul ce service doit être visible. Le LAN ne doit pas l'être.
On va donc mettre ce service dans la DMZ en autorisant avec un premier firewall le flux Internet->service sur les ports qui vont bien.
Ensuite, sur un deuxième firewall, on va bloquer tous les accès entrants sauf service->LAN sur les bons ports.

C'est en cela que la DMZ a un aspect sécurité.

C'est la fonction d'une DMZ d'être une zone "tampon" entre le WAN et le LAN.

Et c'est dans ce sens, que je ne vois pas l'intérêt d'une DMZ chez un particulier.
Un firewall, pourquoi pas mais pas besoin de DMZ.