Modèle périmétrique à 3 zones pour limiter la surface d'attaque (les services/machines exposés) :
* WAN : le monde extérieur
* DMZ : zone tampon, perdable sans mettre en péril le SI, les services très exposés ouverts sur le WAN (exposés => sensibilité la plus faible possible)
* LAN : les services internes, les postes de travail, tout à plat
Flux :
* WAN -> DMZ : spécifiques
* WAN -> LAN : aucun !
* DMZ -> LAN : aucun !
* LAN -> DMZ, DMZ -> WAN : un peu de filtre mais c'est le sens des communications attendues
* (évidemment les réponses passent dans l'autre sens)
Par contre, une fois mis un pied dans le réseau, c'est fini... Ex ransomware ou [Paf TV5Monde](https://www.sstic.org/2017/presentation/2017_cloture/)
Modèle moderne : segmentation
-----------------------------
* Parfois appelé le modèle de l'aéroport (des zones publiques, des contrôles successifs, chaque zone plus sécurisée demande des contrôles supplémentaires)
* Généralisation du concept de DMZ à n segments
* Considérer que l'attaquant est ou sera là, le limiter dans ses actions une fois entré
* Une logique de dissocier l'exposition de la sensibilité (les zones exposées peu sensibles, les zones sensibles peu exposées)
* Un élément de réponse face aux attaques à n sauts, aux ransomwares, ...
Exemple :
* WAN : le monde extérieur
* Des zones de serveurs :
* DMZ externe : les services ouverts sur l'extérieur
* DMZ interne : les services internes
* Des zones de postes de travail, liées aux besoins métiers :
* Des zones très peu privilégiées (secrétariat, compta, DIRECTION)
* Des zones de développeurs (qui déploient du code sur des sites interne par exemple)
* ...
* Une zone de postes particuliers : les administrateurs, très privilégiés, donc on limite au maximum l'exposition (minimum de postes, règles strictes)
Entre chaque paire de zones :
* Limiter les flux
* S'assurer de grader les zones / empêcher les passages vers du plus privilégié
* Toujours ouvert à l'intérieur d'une même zone, pas de contrôle ici.
Vers le zero-trust ?
--------------------
* Trouver le bon compromis entre la maintenabilité (pas trop de zones) et la précision (une zone par machine)
* La mode va vers le zero-trust, mais c'est aujourd'hui plus une philosophie et/ou du marketing qu'une réalité
* Aucun accès par défaut (donc, quelque part, pas de zones), ouverture de chaque flux sur droits spécifiques à chaque fois (SSO+++)
* On imagine vite la complexité de mise en place
* Ex Google
Cas particuliers
----------------
* Authentification centralisée :
* Comment la rendre accessible à la DMZ ? Elle n'est pas perdable et est sensible !
* Proxy ou miroir poussé depuis l'interne
* VPN :
* Chemin WAN -> DMZ externe -> zone interne, c'est mal !
* Vrai casse-tête en particulier avec toutes les ouvertures post-confinement
* Nécessaire, à réfléchir et limiter par utilisateur (un comptable ne doit pas avoir le même accès qu'un développeur)
* Dur !
Quel outillage technique ?
==========================
(V)LAN
------
* LAN (physique) premier élément :
* Un brin réseau Ethernet
* Les LAN sont reliés par des routeurs au niveau IP -> Filtrage !
* La séparation physique est coûteuse et peu souple :
* Un grand LAN unique
* Des VLAN administrés
* Un VLAN spécifié pour chaque prise réseau
* On revient sur la logique du LAN
Pare-feu (_Firewall_)
---------------------
* Ouverture d'une liste de services contrôlés, diminution de la surface d'attaque, matrice de flux
* Couche IP
* Simplification (donc avec perte) : 1 service = 1 port
