Sécuriser un réseau DMZ (zone démilitarisée) grâce à la MFA

Familiarisez-vous avec les procédures d’authentification au sein d’une DMZ et découvrez pourquoi la protection d’une DMZ à l’aide de la MFA tient autant de la science que de l’art.

Si toutes les ressources réseau sont des cibles potentielles pour les hackers, il ne fait aucun mystère que les réseaux sur site posent un risque de sécurité plus élevé. Dans cet article, nous allons voir comment doter une DMZ d’un système d’authentification, et pourquoi la protection de la DMZ à l’aide de l’authentification multifacteur (MFA) est à la fois une science et un art.

Qu’est-ce qu’une DMZ ?

Les serveurs qui présentent le niveau de risque le plus élevé sont ceux qui, par nature, doivent être accessibles du côté public du réseau, comme les serveurs web, DNS, ou de messagerie.

Il est donc nécessaire d’autoriser l’accès à ces services depuis l’extérieur au niveau du pare-feu, par exemple sur le port 443 pour le trafic web HTTPS. Si les ports publics sont toujours gérés avec la plus grande attention, chaque accès depuis le côté public représente un risque potentiel, susceptible d’être exploité par des attaquants.

Pour réduire le risque au minimum, il est possible de déployer une zone démilitarisée, ou DMZ. Cette zone spéciale, accessible au public depuis l’extérieur, est isolée du reste du réseau par un pare-feu. Si les serveurs qu’elle contient sont compromis, les attaquants ne peuvent pas s’en servir facilement comme d’un point d’entrée vers d’autres secteurs du réseau.

Néanmoins, les administrateurs doivent quand même gérer les serveurs DMZ, ce qui signifie qu’ils ont besoin de pouvoir y accéder via un port interne. Bien entendu, comme pour n’importe quel autre type d’accès privilégié, cet accès doit être sécurisé de façon résiliente. On ne peut pas se contenter ici d’une simple combinaison identifiant/mot de passe.

L’approche recommandée : déployer l’authentification multifacteur (MFA).

Cependant, la sécurité des réseaux DMZ n’est pas une mince affaire, et chaque entreprise l’envisage différemment. Lorsqu’il s’agit de déployer la MFA pour les DMZ, les besoins sont souvent variables.

Risques de sécurité dans la DMZ : comment protéger le réseau de lui-même

Parmi toutes les techniques permettant de sécuriser un réseau, l’une des plus simples consiste à le diviser en plusieurs petits réseaux ou sous-réseaux. Ainsi, si un attaquant compromet une ressource dans un sous-réseau, il lui sera impossible de se déplacer latéralement pour compromettre d’autres ressources car il sera bloqué par un maillage de pare-feu.

Sans surprise, cette configuration est plus complexe à administrer (vous aurez besoin de pare-feu plus nombreux ou plus complexes), mais les bénéfices en matière de sécurité valent l’investissement. Du point de vue du réseau, l’idée d’une zone démilitarisée (DMZ) reprend le même principe, dans une version plus spécialisée.

La DMZ héberge les serveurs qui doivent être accessibles du côté public, ce qui les rend plus vulnérables aux attaques. Heureusement, en plaçant ces serveurs sur un sous-réseau DMZ, vous les isolez du reste du réseau. Cela signifie que si une ressource de la DMZ est attaquée, toute compromission éventuelle reste confinée à la DMZ et ne peut pas se propager.

De la même façon qu’une zone démilitarisée sépare la Corée du Nord et la Corée du Sud, une DMZ représente une zone-tampon qui protège le reste du réseau de ce qui peut se passer à l’intérieur de la DMZ et à l’extérieur du réseau.

Les DMZ sont essentielles pour la sécurité des réseaux OT

Comme la description ci-dessus le laisse entendre, une DMZ standard nécessite au moins deux pares-feux pour fonctionner : le premier pour protéger la DMZ des attaques publiques, le second pour isoler le réseau principal de la DMZ. Toutefois, le concept de DMZ peut être étendu de façon plus complexe, en particulier dans le cas des réseaux de technologies opérationnelles (OT).

Les réseaux OT sont déjà des réseaux au sein de réseaux et ils doivent être isolés du monde extérieur ainsi que du réseau IT interne. On a tendance à considérer les réseaux OT comme totalement isolés du monde extérieur afin de les protéger des cyberattaques. En réalité, ces réseaux doivent être gérés à distance, ce qui signifie qu’ils sont bien souvent configurés comme des réseaux IT. Certaines ressources qu’ils renferment doivent être accessibles, à l’image des systèmes SCADA, les PLC ou autres capteurs.

Mais comme dans le cas d’un réseau IT, cette exposition augmente la vulnérabilité aux attaques et le risque de compromission. C’est pourquoi ces systèmes sont généralement placés à l’intérieur d’une DMZ OT. Il est même possible qu’un réseau OT de grande taille dispose de plusieurs DMZ sur différents sites.

Déployer la MFA pour la DMZ : une opération complexe

L’exploitation d’une DMZ pose des problèmes de gestion et de sécurité. Les administrateurs doivent évidemment être en mesure de gérer les serveurs à l’intérieur de la DMZ, et donc passer par un port de pare-feu.

De prime abord, on pourrait penser qu’utiliser une connexion ouverte compromettrait tout l’intérêt de la DMZ pour protéger le réseau interne des déplacements latéraux. En réalité, l’essentiel réside dans la direction de la connexion : le réseau interne doit être capable de se connecter à la DMZ, mais les connexions dans l’autre sens doivent faire l’objet de contrôles stricts.

Une connexion administrateur aux serveurs de la DMZ sera particulièrement sensible. C’est pourquoi on recommande aujourd’hui d’y adosser la MFA en tant que contrôle de sécurité. Toutefois, sa mise en œuvre présente un dilemme aux administrateurs.

L’approche conseillée : placer le serveur d’authentification MFA à l’extérieur de la DMZ. Si l’entreprise possède déjà une plateforme de MFA sur site ou si elle fait déjà appel à un fournisseur de MFA externe, elle peut l’utiliser, mais la configuration risque d’engendrer une latence supplémentaire qui peut poser problème selon les applications.

Autre solution, moins orthodoxe : inclure le serveur d’authentification à l’intérieur de la DMZ. Le système de MFA sera alors plus fluide, mais davantage exposé au risque. Il aura également besoin d’être connecté à la forêt AD dédiée à l’aide d’une connexion sécurisée à sens unique vers le contrôleur de domaine AD principal.

Dans tous les cas, le déploiement de la MFA requiert des éléments d’infrastructure supplémentaires, qui ajoutent de la complexité à la gestion du réseau.

Les scénarios ci-dessus révèlent une autre subtilité liée aux DMZ : toutes ne sont pas égales. Certains font l’objet de contrôles stricts, auquel cas il peut être toléré d’installer le système de MFA à l’intérieur de la DMZ. D’autres, en revanche, favoriseront la méthode orthodoxe, soit l’installation du serveur de MFA à l’extérieur de la DMZ.

Implémentation sûre et sécurisée de la MFA pour la DMZ

Les réseaux DMZ étant isolés par nature, la mise en place de cette technologie peut s’avérer complexe. La MFA exige une infrastructure dédiée, ainsi qu’une intégration au contrôleur de domaine Active Directory (AD) local, situé à l’extérieur de la DMZ, pour que l’authentification puisse se dérouler avec succès.

Conçue spécifiquement pour résoudre le problème de la MFA et du contrôle d’accès sur site, la MFA UserLock propose une solution simple, basée sur un serveur unique, qui permet de se passer de toute infrastructure supplémentaire.

Ainsi, les contrôles de MFA applicables à la DMZ peuvent être gérés depuis la même console que celle utilisée pour configurer d’autres types de sessions, comme dans le cas de la MFA pour le VPN, RDP ou IIS. La DMZ reste isolée, mais l’authentification est possible.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (16) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Médaille d'argent du 1er CTF Social Engineering Canadien, en 2023, lors du HackFest de Québec. Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.