Distinction entre un extranet et une DMZ [fermé]

8

J'ai lu des informations sur les intranets, les extranets, les DMZ et les VPN, et j'aurais besoin de clarifications concernant les extranets et les DMZ. Je comprends qu'il s'agit de différents types de concepts - l'extranet permet un accès limité à certaines ressources intranet, tandis que DMZ est un sous-réseau qui se situe entre Internet et l'intranet et héberge les services externes. Cependant, j'aimerais savoir quelle est leur distinction dans la pratique dans une configuration habituelle? L' article de Wikipedia sur les extranets dit que les extranets sont similaires aux DMZ car ils sont utilisés dans le même but (donnant accès à certains services / ressources sans exposer l'intégralité de l'intranet). L'article indique également qu'un extranet fait partie d'un VPN, et cet article TechNetindique également que l'accès extranet est souvent implémenté de la même manière que l'accès intranet distant, par exemple avec un VPN. L'article de TechNet indique également que l'extranet est généralement hébergé dans la DMZ. Cet article de Pearson dit: "Bien que [la DMZ] soit techniquement située dans l'intranet, [elle] peut également servir d'extranet". C'est un peu déroutant.

Considérez ce scénario: une entreprise possède un site Web B2C hébergé dans la zone démilitarisée. Le site Web est accessible de n'importe où, mais nécessite une authentification de l'utilisateur. L'application Web sous-jacente a sa base de données à l'intérieur de l'intranet et interagit également avec certains services Web qui sont hébergés à l'intérieur de l'intranet (c'est-à-dire qu'elle accède aux ressources intranet). D'après moi, le site Web offre effectivement un accès restreint à l'intranet. Mais peut-il être considéré comme un extranet? Si nous prenons la définition Wikipedia d'un extranet littéralement - "Un extranet est un réseau informatique qui permet un accès contrôlé de l'extérieur de l'intranet d'une organisation" - je pense que c'est possible.

Disons que ce qui précède ne peut pas être considéré comme un extranet. Que se passe-t-il si nous modifions légèrement le scénario et disons qu'il s'agit d'un site Web B2B, où l'accès est par exemple limité aux connexions provenant d'un partenaire commercial spécifique (en utilisant un VPN de site à site, par exemple). Dans ce cas, c'est sûrement un extranet, non? Si tel est le cas, la différence entre les services extranet et tout autre service hébergé dans la DMZ réside simplement dans les restrictions d'accès?

Markus Yrjölä
la source
7
Mon conseil est de ne pas s'enliser dans les détails - même au sein des entreprises, ces définitions varient. Si cela aide, j'ai rarement ici l'expression extranet - la plupart des gens déclarent quelque chose comme étant public (même s'il est limité par des mots de passe) ou interne. La DMZ est simplement un concept de mise en réseau en ce qui concerne les pare-feu et la sécurité - vous pouvez héberger un site Web devant la DMZ, dans la DMZ ou derrière la DMZ et c'est toujours un site Web externe s'il est accessible à partir d'Internet.
Dan
@ Dan, je ne serais pas coincé avec ça si c'était la vraie vie, voir mon commentaire à la réponse de MDMarra. Peut-être que j'essaierai d'éviter de mentionner complètement les extranets ...
Markus Yrjölä

Réponses:

14

Ce sont des distinctions académiques. Dans le monde réel, vous trouverez une combinaison de tous ces concepts sous différents termes.

Dans certaines organisations, une DMZ dispose d'une connexion réseau ISP distincte et n'a pas accès aux ressources internes. Dans d'autres organisations, il existe des machines jointes au domaine dans la DMZ qui peuvent communiquer avec un ensemble restreint de machines internes. Parfois, interne et DMZ ont des pare-feu séparés. Parfois, ils ont des interfaces distinctes sur le même pare-feu.

Il est important de savoir pourquoi quelqu'un devrait utiliser un extranet ou DMZ, car ce sont les concepts de sécurité qui comptent. À partir de là, vous pouvez choisir comment autoriser l'accès à certaines ressources. Ce qu'il est réellement appelé n'a pas d'importance. Dans certains cas, il divise les poils.

MDMarra
la source
C'est drôle que vous ayez commencé votre réponse comme ça, étant donné que j'ai posé cette question dans le cadre des recherches que je fais pour la thèse de mon master. Alors malheureusement, je dois devenir académique avec ce genre de choses. Eh bien, je suppose que je devrai juste essayer de définir les termes d'une manière ou d'une autre et de fournir un raisonnement pour cela.
Markus Yrjölä
7

Je ne pense pas avoir récemment entendu parler d'un extranet en dehors des manuels et des salles de classe.

Une DMZ est une topologie de réseau commune avec un segment de réseau qui est séparé par des pare-feu du réseau interne et des réseaux externes non approuvés (alias Internet ).

En revanche, l' Extranet , s'il est réellement inclus dans la conception du réseau, implique quelque peu qu'il est connecté à un VPN ou à des réseaux privés réels au lieu de l'ensemble de l'Internet.

De nombreuses entreprises ont plusieurs réseaux DMZ et envisageraient un réseau avec une passerelle / routeur VPN ou une interconnexion privée juste une autre DMZ.

Le plus souvent, un extranet est / n'était pas tellement une topologie de réseau mais plutôt un service distinct du réseau interne qui est fourni à un ensemble restreint d'utilisateurs, de sociétés et de réseaux externes quelque peu fiables, connus et / ou authentifiés.

Du point de vue de la mise en réseau, votre serveur Web doit résider dans le réseau DMZ. Le fait que votre site Web permette à vos revendeurs de se connecter, de parcourir votre catalogue, d'afficher le stock et de commander, signifierait que votre site Web serait appelé extranet par les services marketing. Les coûts de développement passeraient de $$ à $$$$.

HBruijn
la source
1
Merci, cela a clarifié certaines choses et correspond assez bien à la façon dont je l'ai compris moi-même. J'ai récemment entendu des gens parler des extranets au travail, alors apparemment, ce n'est pas une peine morte.
Markus Yrjölä
2

Pour moi, je résume cela à la politique de sécurité. Nous avons écrit une politique selon laquelle aucun système accessible au public n'aura un accès entrant à l'intranet à moins qu'une exception spécifique ne soit autorisée. Nous avons également une politique selon laquelle la DMZ n'aura pas accès entrant à notre intranet et que notre extranet a. Par exemple, nous avons un serveur Web avec une base de données principale qui doit synchroniser les données avec une base de données intranet. Nous mettons le serveur Web sur la DMZ, la base de données backend sur l'Extranet, et il se synchronise avec la base de données intranet de production. Ainsi, pour l'évaluation de la confiance, le réseau public serait 0, la zone démilitarisée serait 1, l'extranet serait 2 et l'intranet serait 3.

Corey Adam
la source