> Tech > Connexion entre deux pare-feu

Connexion entre deux pare-feu

Tech - Par iTPro - Publié le 24 juin 2010
email

Q : Un nouveau partenaire est proche de l'une de nos agences. Par souci d'économie, nous l'avons relié à  notre bureau en installant une connexion Ethernet vers le port DMZ sur l'unité pare-feu/routeur de notre agence, avec un autre pare-feu dans son bureau pour acheminer ses données sur un VPN

Connexion entre deux pare-feu

vers notre bureau principal.
Malheureusement, le VPN
se met en time out après
quelques minutes. Qu’est-ce qui
ne va pas ?

R :

La cause la plus probable du problème
est la topologie réseau pare-feu derrière
un pare-feu que vous avez installée.
Comme vous utilisez une unité
routeur/pare-feu combinée, le trafic
provenant du pare-feu que vous avez
installé chez votre partenaire doit aller
jusqu’au pare-feu de votre agence. En
général, il est mauvais d’acheminer du
trafic d’un pare-feu vers un autre,
parce que ces dispositifs manipulent
parfois le contenu interne des paquets
pour certains protocoles. En franchissant
deux pare-feu, ces paquets sont
donc manipulés deux fois, non sans
risque.

FTP est un exemple de protocole
qu’un pare-feu doit manipuler en interne
pour fonctionner correctement.
Le protocole IPSec, utilisé par la plupart
des VPN, en est un autre. Pour résoudre
votre problème, il faut donc éliminer
le trajet entre les deux pare-feu
pour le trafic du partenaire, en reliant
la connexion Ethernet de votre partenaire
entre le routeur et le pare-feu sur
votre réseau d’agence.

Malheureusement, ce n’est pas
possible avec votre configuration matérielle
actuelle, parce que les fonctions
du routeur et du pare-feu sont
étroitement mêlées dans l’unité routeur/
pare-feu unique. Bien qu’il y ait un
port sur cette unité appelé DMZ – pour
« demilitarized zone » – ce port n’assure pas de connexion entre les composants
routeur et pare-feu de l’unité. Sa
vraie fonction est de fournir un endroit
pour connecter les serveurs sans les
obliger à  passer au travers de la portion
NAT (network address translation) du
composant pare-feu.

Pour résoudre le problème du
pare-feu passant par un pare-feu, il faut
séparer les fonctions routeur et parefeu
de votre agence en deux dispositifs
distincts. Vous pourrez probablement
désactiver une fonction ou l’autre sur
votre routeur/pare-feu, en ne la laissant
agir que comme un routeur ou un
pare-feu. Il faudra ensuite acheter au
moins une nouvelle unité – routeur ou
pare-feu – pour adapter votre réseau
au trafic du partenaire.

Téléchargez gratuitement cette ressource

Cybersécurité sous contrôle à 360°

Cybersécurité sous contrôle à 360°

Avec Cloud in One, les entreprises ne gagnent pas uniquement en agilité, en modernisation et en flexibilité. Elles gagnent également en sécurité et en résilience pour lutter efficacement contre l’accroissement en nombre et en intensité des cyberattaques. Découvrez l'axe Cybersécurité de la solution Cloud In One.

Tech - Par iTPro - Publié le 24 juin 2010