CHAPITRE VI : LES
CONNEXIONS EXTERNES ET INTERNES
I. ACCES A INTERNET
A partir du LAN d'une entreprise, quelque soit la station qui
désire accéder à la toile, il est possible d'exploiter
l'une des trois méthodes ci après :
Ø Connexion directe (sans NAT) : dans cette
méthode, la station interne qui fait office de passerelle
d'accès au réseau externe doit disposer d'une adresse IP
officielle (publique) qui lui permettra de l'identifier sur internet.
Ø Connexion directe avec NAT : dans ce cas, la
station interne se contentera d'une adresse IP privée, ses
requêtes passeront par un NAT qui lui a une adresse IP public. Le NAT se
chargera de traduire l'adresse de la station locale puisque celle-ci n'est pas
routable autrement dit autorisée sur internet du fait qu'elle n'est pas
unique. Ce mécanisme de NAT permet notamment de faire correspondre une
seule adresse externe publique visible sur internet à toutes les
adresses d'un réseau privée, et pallie ainsi à
l'épuisement des adresses IPV4.
Ø Proxy-cache web : la station interne a une adresse
privée et est configurée pour utiliser le serveur proxy
lorsqu'elle émet une requête web ; c'est donc au tour du
proxy d'envoyer la requête sur le serveur web externe. Cet état
des fait ouvre deux sessions TCP (http) : station-proxy et proxy-serveur
web, conserve une cache web en interne, permet un gain de la bande passante.
De ces trois méthodes, la plus sécurisée est
la dernière ; elles sont ainsi énumérées
suivant le degré de sécurité le moins
élevé.
II. ACCES DEPUIS
L'INTERNET
Dans une architecture réseau où certains
services tels la messagerie, le web sont parfois utilisés hors du
réseau local, il convient de placer les serveurs hébergeant ces
services dans une DMZ (zone démilitarisée) qui doit être
semi ouverte à fin d'autoriser les accès externes. A
défaut d'héberger ce service dans la zone
démilitarisée, l'entreprise peut opter également
solliciter les services d'un fournisseur d'accès ou d'un
hébergeur. Les stations de la DMZ doivent être des stations
dédiées c'est-à-dire réservées pour des
tâches précises à fin de limites les risques d'attaques du
réseau local.
En matière de sécurité, vu les nombreuses
failles de sécurité que présentent l'environnement windows
(serveur web IIS en l'occurrence), il est préférables d'utiliser
les logiciels libres (ex : apache) et les systèmes Unix car ils
présent moins de vulnérabilité ; tout en
prévoyant un mécanisme de mise à jour.
En général, accéder à partir de
L'Internet au réseau local de l'entreprise concerne les tâches
telles que :
Ø La consultation de la messagerie et l'émission
des messages,
Ø L'accès (interactif) aux stations interne,
Ø Le transfert de fichiers
Ø L'accès global à toutes les ressources
de l'Intranet (réseau interne) de manière sécurisée
(absence de mot de passe en clair sur le réseau)
Pour réduire la vulnérabilité du
réseau local, il convient de sécuriser les moyens d'accès
à ses tâches. L'accès interactif aux stations internes
(telnet), POP, IMAP,... présente une vulnérabilité
élevée, ainsi il est nécessaire de les coupler avec le
protocole de sécurisation des échanges SSL, qui assure la
sécurité (confidentialité, intégrité et
authentification) des transactions sur internet. Au niveau applicatif, on peu
également sécuriser l'accès interactif et le transfert de
fichiers en utilisant SSH ; penser à intégrer un
garde-barrière dans la chaîne de sécurité.
Un accès complet à toutes les ressources
internes requiert davantage de sécurité. De ce fait l'entreprise
peut opter pour l'implémentation d'un VPN qui est une bonne alternative
aux liaisons spécialisées qui bien qu'étant plus fiables
sont onéreuses. Le VPN utilise le principe de tunneling pour la
communication entre le deux points distants via les protocoles tels que PPTP,
L2TP, IPSec.
Tous ces mécanismes de sécurité
requièrent des compétences pointues pour ne pas créer des
trous de sécurité dans les configurations ; ils ne
garantissent pas une sécurité à 100% contre des attaques
et des vols d'information, d'où il est primordial de prévoir des
sauvegardes.
|