Ce point se compose soit d'un routeur soit d'un routeur et d'un Firewall.
Le routeur est l’élément qui permet la sortie des données vers Internet. C’est lui qui fait passer les paquets TCP/IP des clients Internes vers l’extérieur. Dans le cas d’une ligne Numéris ( RNIS ) c’est lui qui numérote vers l’ISP ( Internet Service Provider ) afin d’obtenir une liaison sur Internet. C'est le premier élément visible depuis l'extérieur et donc la première cible potentielle d'attaques, c'est pour cette raison qu'on met en place une remontée de "log" importante vers une machine quelconque dans la DMZ afin de garder un maximum de traces lors d'analyse d'événements particuliers.
Le routeur peut-être considéré comme le premier Pare-feu du système. En effet, plusieurs routeurs intègrent des fonctionnalité de contrôle de niveau 3 et 4. Il permet déjà de contrôler une bonne partie du trafic ainsi qu’une bonne remontée d’informations, et ceci est très important car quoi de plus frustrant que de se faire pirater et de ne pas savoir qui vous a " forcé " ! ! ! Chaque fois que des paquets passent dans un sens ou dans l'autre, le routeur vérifie les access-lists pour laisser passer ou dropper le paquet concerné. La méthode est assez simple, demande un peu de calcul et donc ralenti les transferts, mais par contre est très efficace.
Le routeur procède selon l'ordre suivant :
Il stocke les règles de filtrage sur chaque port physique ( en mémoire RAM ), il analyse l'en-tête du datagramme, il applique les règles de filtrage aux paquets reçus, à partir de là plusieurs cas sont envisageables ; si une règle indique que le paquet doit être bloqué, celui-ci est droppé, si une règle indique que le paquet doit être accepté alors celui-ci est routé conformément à sa table de routage vers la cible demandée, mais si aucune règle ne s’applique, ce sont les règles par défaut préalablement configurées par l’administrateur qui seront prises en compte. En général, on choisit de bloquer tout trafic non explicitement permis.
Exemple :
Une personne tente de rentrer dans le système par le routeur. Dès que ses paquets IP arrivent sur le routeur, ce dernier vérifie si l'adresse IP d'en-tête est une adresse autorisée à rentrer.
... Généralement on n'a que quelques adresses particulières qui sont autorisées, comme les DNS, un routeur distant de la même société,... et des adresses qui viennent juste d'être appelées par des machines internes. En effet, lorsqu'un poste qui se trouve au sein de l'Intranet appelle un serveur de l'Internet, les règles d'accès font en sorte que l'adresse de la machine externe appelée puisse rentrer pendant un petit moment. Cela s'appelle la réflexivité d'adresses et c'est très logique lorsqu'on fait une demande et que l'on est en attente de réponse....
En général, l'intrus ne peut même pas faire passer un seul paquet... Néanmoins lorsqu'on offre des services publics dans sa DMZ tels que FTP, Web,... On laisse forcément passer tout le monde pour consulter ces machines. Bien sûr que le filtre se fait sur la destination ( serveurs ftp, www..) mais néanmoins on ne maîtrise pas toutes les personnes qui arrivent jusque là. De plus, on offre beaucoup plus de cibles potentielles puisque l'on doit connaître parfaitement les points faibles de chaque service accessible.