Firewall (pare-feu)

Chaque ordinateur connect internet (et d'une manire plus gnrale n'importe quel rseau informatique) est susceptible d'tre victime d'une attaque d'un pirate informatique. La mthodologiegnralement employe par le pirate informatique consiste scruter le rseau (en envoyant des paquets de donnes de manire alatoire) la recherche d'une machine connecte, puis chercher une faille de scurit afin de l'exploiter et d'accder aux donnes s'y trouvant. Cette menace est d'autant plus grande que la machine est connecte en permanence internet pour plusieurs raisons : La machine cible est susceptible d'tre connecte sans pour autant tre surveille ; La machine cible est gnralement connecte avec une plus large bande passante ; La machine cible ne change pas (ou peu) d'adresse IP.

Ainsi, il est ncessaire, autant pour les rseaux d'entreprises que pour les internautes possdant une connexion de type cble ou ADSL, de se protger des intrusions rseaux en installant un dispositif de protection.

Qu'est-ce qu'un pare-feu?

Un pare-feu (appel aussi coupe-feu, garde-barrire ou firewall en anglais), est un systme permettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment internet). Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le rseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseau suivante : une interface pour le rseau protger (rseau interne) ; une interface pour le rseau externe.

Le systme firewall est un systme logiciel, reposant parfois sur un matriel rseau ddi, constituant un intermdiaire entre le rseau local (ou la machine locale) et un ou plusieurs rseaux externes. Il est possible de mettre un systme pare-feu sur n'importe quelle machine et avec n'importe quel systme pourvu que : La machine soit suffisamment puissante pour traiter le traffic ; Le systme soit scuris ;

Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.

Dans le cas o le systme pare-feu est fourni dans une bote noire cl en main , on utilise le terme d' appliance .

Fonctionnement d'un systme pare-feu

Un systme pare-feu contient un ensemble de rgles prdfinies permettant : D'autoriser la connexion (allow) ; De bloquer la connexion (deny) ; De rejeter la demande de connexion sans avertir l'metteur (drop).

L'ensemble de ces rgles permet de mettre en oeuvre une mthode de filtrage dpendant de la politique de scurit adopte par l'entit. On distingue habituellement deux types de politiques de scurit permettant : soit d'autoriser uniquement les communications ayant t explicitement autorises : soit d'empcher les changes qui ont t explicitement interdits.

La premire mthode est sans nul doute la plus sre, mais elle impose toutefois une dfinition prcise et contraignante des besoins en communication.

Le filtrage simple de paquets

Un systme pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais stateless packet filtering ). Il analyse les en-ttes de chaque paquet de donnes (datagramme) chang entre une machine du rseau interne et une machine extrieure. Ainsi, les paquets de donnes change entre une machine du rseau extrieur et une machine du rseau interne transitent par le pare-feu et possdent les en-ttes suivants, systmatiquement analyss par le firewall : adresse IP de la machine mettrice ; adresse IP de la machine rceptrice ; type de paquet (TCP, UDP, etc.) ; numro de port (rappel: un port est un numro associ un service ou une application rseau).

Les adresses IP contenues dans les paquets permettent d'identifier la machine mettrice et la machine cible, tandis que le type de paquet et le numro de port donnent une indication sur le type de service utilis. Le tableau ci-dessous donne des exemples de rgles de pare-feu :

Rg Actio le n IP source 1

IP dest

Protoc Port ol source any

Port dest 25

Accep 192.168.10.2 194.154.19 tcp

t 2 3 4

2.3 192.168.10. 3 tcp tcp any any any any 80 80 any

Accep t any

Accep 192.168.10.0 t /24 any Deny any any

Les ports reconnus (dont le numro est compris entre 0 et 1023</ital>) sont associs des services courants (les ports 25 et 110 sont par exemple associs au courrier lectronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurs de manire filtrer les communications selon le port utilis. Il est gnralement conseill de bloquer tous les ports qui ne sont pas indispensables (selon la politique de scurit retenue). Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'muler un accs par terminal une machine distante de manire pouvoir excuter des commandes distance. Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et de voler les ventuels mots de passe circulant en clair. Les administrateurs lui prfrent gnralement le protocole SSH, rput sr et fournissant les mmes fonctionnalits que Telnet.

Le filtrage dynamique
Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gre la notion de session, afin d'assurer le bon droulement des changes. D'autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'est--dire de manire alatoire) un port afin d'tablir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible avec un filtrage simple de paquets de prvoir les ports laisser passer ou interdire. Pour y remdier, le systme de filtrage dynamique de paquets est bas sur l'inspection des couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur. Le terme anglo-saxon est stateful inspection ou stateful packet filtering , traduisez filtrage de paquets avec tat . Un dispositif pare-feu de type stateful inspection est ainsi capable d'assurer un suivi des changes, c'est--dire de tenir compte de l'tat des anciens paquets pour appliquer les rgles de filtrage. De cette manire, partir du moment o une machine autorise initie une connexion une machine situe de l'autre ct du pare-feu; l'ensemble des paquets transitant dans le cadre de cette connexion seront implicitement accepts par le pare-feu. Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protge pas pour autant de l'exploitation des failles applicatives, lies aux vulnrabilits des applications. Or ces vulnrabilits reprsentent la part la plus importante des risques en terme de scurit.

Le filtrage applicatif

Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opre donc au niveau 7 (couche application) du modle OSI, contrairement au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utiliss par chaque application. Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une bonne connaissance des applications prsentes sur le rseau, et notamment de la manire dont elle structure les donnes changes (ports, etc.). Un firewall effectuant un filtrage applicatif est appel gnralement passerelle applicative (ou proxy ), car il sert de relais entre deux rseaux en s'interposant et en effectuant une validation fine du contenu des paquets changs. Le proxy reprsente donc un intermdiaire entre les machines du rseau interne et le rseau externe, subissant les attaques leur place. De plus, le filtrage applicatif permet la destruction des en-ttes prcdant le message applicatif, ce qui permet de fournir un niveau de scurit supplmentaire. Il s'agit d'un dispositif performant, assurant une bonne protection du rseau, pour peu qu'il soit correctement administr. En contrepartie, une analyse fine des donnes applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant tre finement analys. Par ailleurs, le proxy doit ncessairement tre en mesure d'interprter une vaste gamme de protocoles et de connatre les failles affrentes pour tre efficace. Enfin, un tel systme peut potentiellement comporter une vulnrabilit dans la mesure o il interprte les requtes qui transitent par son biais. Ainsi, il est recommand de dissocier le pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.

Notion de pare-feu personnel

Dans le cas o la zone protge se limite l'ordinateur sur lequel le firewall est install on parle defirewall personnel (pare-feu personnel). Ainsi, un firewall personnel permet de contrler l'accs au rseau des applications installes sur la machine, et notamment empcher les attaques du type cheval de Troie, c'est--dire des programmes nuisibles ouvrant une brche dans le systme afin de permettre une prise en main distance de la machine par un pirate informatique. Le firewall personnel permet en effet de reprer et d'empcher l'ouverture non sollicite de la part d'applications non autorises se connecter.

Les limites des firewalls

Un systme pare-feu n'offre bien videmment pas une scurit absolue, bien au contraire. Les firewalls n'offrent une protection que dans la mesure o l'ensemble des communications vers l'extrieur passe systmatiquement par leur intermdiaire et qu'ils sont correctement configurs. Ainsi, les accs au rseau extrieur par contournement du firewall sont autant de failles de scurit. C'est notamment le cas des connexions effectues partir du rseau interne l'aide d'un modem ou de tout moyen de connexion chappant au contrle du pare-feu. De la mme manire, l'introduction de supports de stockage provenant de l'extrieur sur

des machines internes au rseau ou bien d'ordinateurs portables peut porter fortement prjudice la politique de scurit globale. Enfin, afin de garantir un niveau de protection maximal, il est ncessaire d'administrer le pare-feu et notamment de surveiller son journal d'activit afin d'tre en mesure de dtecter les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommand d'effectuer une veille de scurit (en s'abonnant aux alertes de scurit des CERT par exemple) afin de modifier le paramtrage de son dispositif en fonction de la publication des alertes. La mise en place d'un firewall doit donc se faire en accord avec une vritable politique de scurit.

DMZ (Zone dmilitarise)

Notion de cloisonnement

SuivantTranslation
d'adresse

Les sytmes pare-feu (firewall) permettent de dfinir des rgles d'accs entre deux rseaux. Nanmoins, dans la pratique, les entreprises ont gnralement plusieurs sousrseaux avec des politiques de scurit diffrentes. C'est la raison pour laquelle il est ncessaire de mettre en place des architectures de systmes pare-feux permettant d'isoler les diffrents rseaux de l'entreprise : on parle ainsi de cloisonnement des rseaux (le terme isolation est parfois galement utilis).

Architecture DMZ
Lorsque certaines machines du rseau interne ont besoin d'tre accessibles de l'extrieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent ncessaire de crer une nouvelle interface vers un rseau part, accessible aussi bien du rseau interne que de l'extrieur, sans pour autant risquer de compromettre la scurit de l'entreprise. On parle ainsi de zone dmilitaris (noteDMZ pour DeMilitarized Zone) pour dsigner cette zone isole hbergeant des applications mises disposition du public. La DMZ fait ainsi office de zone tampon entre le rseau protger et le rseau hostile.

Les serveurs situs dans la DMZ sont appels bastions en raison de leur position d'avant poste dans le rseau de l'entreprise. La politique de scurit mise en oeuvre sur la DMZ est gnralement la suivante : Traffic du rseau externe vers la DMZ autoris ; Traffic du rseau externe vers le rseau interne interdit ;

Traffic du rseau interne vers la DMZ autoris ; Traffic du rseau interne vers le rseau externe autoris ; Traffic de la DMZ vers le rseau interne interdit ;

Traffic de la DMZ vers le rseau externe refus. La DMZ possde donc un niveau de scurit intermdiaire, mais son niveau de scurisation n'est pas suffisant pour y stocker des donnes critiques pour l'entreprise. Il est noter qu'il est possible de mettre en place des DMZ en interne afin de cloisonner le rseau interne selon diffrents niveaux de protection et ainsi viter les intrusions venant de l'intrieur.

NAT - Translation d'adresses

Principe du NAT

SuivantRAID

Le mcanisme de translation d'adresses (en anglais Network Address Translation not NAT) a t mis au point afin de rpondre la pnurie d'adresses IP avec le protocole IPv4 (le protocole IPv6 rpondra terme ce problme). En effet, en adressage IPv4 le nombre d'adresses IP routables (donc uniques sur la plante) n'est pas suffisant pour permettre toutes les machines ncessitant d'tre connectes internet de l'tre. Le principe du NAT consiste donc utiliser une adresse IP routable (ou un nombre limit d'adresses IP) pour connecter l'ensemble des machines du rseau en ralisant, au niveau de la passerelle de connexion internet, une translation (littralement une traduction ) entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle.

D'autre part, le mcanisme de translation d'adresses permet de scuriser le rseau interne tant donn qu'il camoufle compltement l'adressage interne. En effet, pour un observateur externe au rseau, toutes les requtes semblent provenir de la mme adresse IP.

Espaces d'adressage

L'organisme grant l'espace d'adressage public (adresses IP routables) est l'Internet Assigned Number Authority (IANA). La RFC 1918 dfinit un espace d'adressage priv permettant toute organisation d'attribuer des adresses IP aux machines de son rseau interne sans risque d'entrer en conflit avec une adresse IP publique alloue par l'IANA. Ces adresses dites non-routables correspondent aux plages d'adresses suivantes : Classe A : plage de 10.0.0.0 10.255.255.255 ; Classe B : plage de 172.16.0.0 172.31.255.255 ;

 Classe C : plage de 192.168.0.0 192.168.255.55 ; Toutes les machines d'un rseau interne, connectes internet par l'intermdiaire d'un routeur et ne possdant pas d'adresse IP publique doivent utiliser une adresse contenue dans l'une de ces plages. Pour les petits rseaux domestiques, la plage d'adresses de 192.168.0.1 192.168.0.255 est gnralement utilise.

Translation statique
Le principe du NAT statique consiste associer une adresse IP publique une adresse IP prive interne au rseau. Le routeur (ou plus exactement la passerelle) permet donc d'associer une adresse IP prive (par exemple 192.168.0.1) une adresse IP publique routable sur Internet et de faire la traduction, dans un sens comme dans l'autre, en modifiant l'adresse dans le paquet IP. La translation d'adresse statique permet ainsi de connecter des machines du rseau interne internet de manire transparente mais ne rsout pas le problme de la pnurie d'adresse dans la mesure o nadresses IP routables sont ncessaires pour connecter n machines du rseau interne.

Translation dynamique

Le NAT dynamique permet de partager une adresse IP routable (ou un nombre rduit d'adresses IP routables) entre plusieurs machines en adressage priv. Ainsi, toutes les machines du rseau interne possdent virtuellement, vu de l'extrieur, la mme adresse IP. C'est la raison pour laquelle le terme de mascarade IP (en anglais IP masquerading) est parfois utilis pour dsigner le mcanisme de translation d'adresse dynamique. Afin de pouvoir multiplexer (partager) les diffrentes adresses IP sur une ou plusieurs adresses IP routables le NAT dynamique utilise le mcanisme de translation de port (PAT - Port Address Translation), c'est--dire l'affectation d'un port source diffrent chaque requte de telle manire pouvoir maintenir une correspondance entre les requtes provenant du rseau interne et les rponses des machines sur Internet, toutes adresses l'adresse IP du routeur.

Plus d'informations

Pour plus d'information il est conseill de se reporter la RFC 3022 : RFC 3022 - Traditional IP Network Address Translator (Traditional NAT) RFC 1918 - Address Allocation for Private Internets

Protection - Les systmes RAID

Prsentation de la technologie RAID

SuivantOnduleur

La technologie RAID (acronyme de Redundant Array of Inexpensive Disks, parfois Redundant Array of Independent Disks, traduisez Ensemble redondant de disques indpendants) permet de constituer une unit de stockage partir de plusieurs disques durs. L'unit ainsi cre (appele grappe) a donc une grande tolrance aux pannes (haute disponibilit), ou bien une plus grande capacit/vitesse d'criture. La rpartition des donnes sur plusieurs disques durs permet donc d'en augmenter la scurit et de fiabiliser les services associs. Cette technologie a t mise au point en 1987 par trois chercheurs (Patterson, Gibson et Katz) l'Universit de Californie (Berkeley). Depuis 1992 c'est le RAID Advisory Board qui gre ces spcifications. Elle consiste constituer un disque de

grosse capacit (donc coteux) l'aide de plus petits disques peu onreux (c'est--dire dont le MTBF, Mean Time Between Failure, soit le temps moyen entre deux pannes, est faible). Les disques assembls selon la technologie RAID peuvent tre utiliss de diffrentes faons, appelesNiveaux RAID. L'Universit de Californie en a dfini 5, auxquels ont t ajouts les niveaux 0 et 6. Chacun d'entre-eux dcrit la manire de laquelle les donnes sont rparties sur les disques : Niveau 0: appel striping Niveau 1: appel mirroring, shadowing ou duplexing Niveau 2: appel striping with parity (obsolte) Niveau 3: appel disk array with bit-interleaved data Niveau 4: appel disk array with block-interleaved data Niveau 5: appel disk array with block-interleaved distributed parity Niveau 6: appel disk array with block-interleaved distributed parity

Chacun de ces niveaux constitue un mode d'utilisation de la grappe, en fonction : des performances du cot des accs disques

Niveau 0
Le niveau RAID-0, appel striping (traduisez entrelacement ou agrgat par bande, parfois injustement appel stripping) consiste stocker les donnes en les rpartissant sur l'ensemble des disques de la grappe. De cette faon, il n'y a pas de redondance, on ne peut donc pas parler de tolrance aux pannes. En effet en cas de dfaillance de l'un des disques, l'intgralit des donnes rparties sur les disques sera perdue. Toutefois, tant donn que chaque disque de la grappe a son propre contrleur, cela constitue une solution offrant une vitesse de transfert leve. Le RAID 0 consiste ainsi en la juxtaposition logique (agrgation) de plusieurs disques durs physiques. En mode RAID-0 les donnes sont crites par "bandes" (en anglais stripes) : Disque Disque Disque 1 2 3 Bande 1 Bande 2 Bande 3 Bande 4 Bande 5 Bande 6 Bande 7 Bande 8 Bande 9

On parle de facteur d'entrelacement pour caractriser la taille relative des fragments (bandes) stocks sur chaque unit physique. Le dbit de transfert moyen dpend de ce facteur (plus petite est chaque bande, meilleur est le dbit). Si un des lments de la grappe est plus grand que les autres, le systme de remplissage par bande se trouvera bloqu lorsque le plus petit des disques sera rempli. La taille finale est ainsi gale au double de la capacit du plus petit des deux disques : deux disques de 20 Go donneront un disque logique de 40 Go. un disque de 10 Go utilis conjointement avec un disque de 27 Go permettra d'obtenir un disque logique de 20 Go (17 Go du second disque seront alors inutiliss).

Niveau 1

Il est recommand d'utiliser des disques de mme taille pour faire du RAID-0 car dans le cas contraire le disque de plus grande capacit ne sera pas pleinement exploit.

Le niveau 1 a pour but de dupliquer l'information stocker sur plusieurs disques, on parle donc demirroring, ou shadowing pour dsigner ce procd. Disque 1 Bande 1 Bande 2 Bande 3 Disque 2 Bande 1 Bande 2 Bande 3 Disque 3 Bande 1 Bande 2 Bande 3

On obtient ainsi une plus grande scurit des donnes, car si l'un des disques tombe en panne, les donnes sont sauvegardes sur l'autre. D'autre part, la lecture peut tre beaucoup plus rapide lorsque les deux disques sont en fonctionnement. Enfin, tant donn que chaque disque possde son propre contrleur, le serveur peut continuer fonctionner mme lorsque l'un des disques tombe en panne, au mme titre qu'un camion pourra continuer rouler si un de ses pneus crve, car il en a plusieurs sur chaque essieu...

En contrepartie la technologie RAID1 est trs onreuse tant donn que seule la moiti de la capacit de stockage n'est effectivement utilise.

Niveau 2

Le niveau RAID-2 est dsormais obsolte, car il propose un contrle d'erreur par code de Hamming (codesECC - Error Correction Code), or ce dernier est dsormais directement intgr dans les contrleurs de disques durs. Cette technologie consiste stocker les donnes selon le mme principe qu'avec le RAID0 mais en crivant sur une unit distincte les bits de contrle ECC (gnralement 3 disques ECC sont utiliss pour 4 disques de donnes).

La technologie RAID 2 offre de pitres performances mais un niveau de scurit lev.

Niveau 3

Le niveau 3 propose de stocker les donnes sous forme d'octets sur chaque disque et de ddier un des disques au stockage d'un bit de parit. Disque Disque Disque Disque 4 1 2 3 Parit Octet 1 Octet 2 Octet 3 1+2+3 Octet 4 Octet 5 Octet 6 Parit Octet 7 Octet 8 Octet 9 4+5+6 Parit 7+8+9

De cette manire, si l'un des disques venait dfaillir, il serait possible de reconstituer l'information partir des autres disques. Aprs "reconstitution" le contenu du disque dfaillant est de nouveau intgre. Par contre, si deux disques venaient tomber en panne simultanment, il serait alors impossible de remdier la perte de donnes.

Niveau 4
Le niveau 4 est trs proche du niveau 3. La diffrence se trouve au niveau de la parit, qui est faite sur unsecteur (appel bloc) et non au niveau du bit, et qui est stocke sur un disque ddi. C'est--dire plus prcisment que la valeur du facteur d'entrelacement est diffrente par rapport au RAID 3. Disque Disque Disque Disque 4 1 2 3 Parit Bloc 1 Bloc 2 Bloc 3 1+2+3 Bloc 4 Bloc 5 Bloc 6 Parit 4+5+6 Bloc 7 Bloc 8 Bloc 9 Parit 7+8+9

Ainsi, pour lire un nombre de blocs rduits, le systme n'a pas accder de multiples lecteurs physiques, mais uniquement ceux sur lesquels les donnes sont effectivement stockes. En contrepartie le disque hbergeant les donnes de contrle doit avoir un temps d'accs gal la somme des temps d'accs des autres disques pour ne pas limiter les performances de l'ensemble.

Niveau 5

Le niveau 5 est similaire au niveau 4, c'est--dire que la parit est calcule au niveau d'un secteur, mais rpartie sur l'ensemble des disques de la grappe. Disque 1 Disque 2 Disque Disque 4 3 Bloc 1 Bloc 2 Parit Bloc 3 1+2+3 Bloc 4 Parit 4+5+6 Bloc 5 Bloc 6 Parit 7+8+9 Bloc 7 Bloc 8 Bloc 9

De cette faon, RAID 5 amliore grandement l'accs aux donnes (aussi bien en lecture qu'en criture) car l'accs aux bits de parit est rparti sur les diffrents disques de la grappe. Le mode RAID-5 permet d'obtenir des performances trs proches de celles obtenues en RAID-0, tout en assurant une tolrance aux pannes leve, c'est la raison pour laquelle c'est un des modes RAID les plus intressants en terme de performance et de fiabilit. L'espace disque utile sur une grappe de n disques tant gal n-1 disques, il est intressant d'avoir un grand nombre de disques pour "rentabiliser" le RAID-5.

Niveau 6

Le niveau 6 a t ajout aux niveaux dfinis par Berkeley. Il dfinit l'utilisation de 2 fonctions de parit, et donc leur stockage sur deux disques ddis. Ce niveau permet ainsi d'assurer la redondance en cas d'avarie simultane de deux disques. Cela signifie qu'il faut au moins 4 disques pour mettre en oeuvre un systme RAID-6.

Comparaison

Les solutions RAID gnralement retenues sont le RAID de niveau 1 et le RAID de niveau 5. Le choix d'une solution RAID est li trois critres : la scurit : RAID 1 et 5 offrent tous les deux un niveau de scurit lev, toutefois la mthode de reconstruction des disques varie entre les deux solutions. En cas de panne du systme, RAID 5 reconstruit le disque manquant partir des informations stockes sur les autres disques, tandis que RAID 1 opre une copie disque disque. Les performances : RAID 1 offre de meilleures performances que RAID 5 en lecture, mais souffre lors d'importantes oprations d'criture. Le cot : le cot est directement li la capacit de stockage devant tre mise en oeuvre pour avoir une certaine capacit effective. La solution RAID 5 offre un volume utile reprsentant 80 90% du volume allou (le reste servant videmment au contrle d'erreur). La solution RAID 1 n'offre par contre qu'un volume disponible reprsentant 50 % du volume total (tant donn que les informations sont dupliques).

Mise en place d'une solution RAID

Il existe plusieurs faons diffrentes de mettre en place une solution RAID sur un serveur : de faon logicielle : il s'agit gnralement d'un driver au niveau du systme d'exploitation de l'ordinateur capable de crer un seul volume logique avec plusieurs disques (SCSI ou IDE). de faon matrielle o avec des matriels DASD (Direct Access Stockage Device) : il s'agit d'units de stockage externes pourvues d'une alimentation propre. De plus

ces matriels sont dots de connecteurs permettant l'change de disques chaud (on dit gnralement que ce type de disque est hot swappable). Ce matriel gre lui-mme ses disques, si bien qu'il est reconnu comme un disque SCSI standard. o avec des contrleurs de disques RAID : il s'agit de cartes s'enfichant dans des slots PCI ou ISA et permettant de contrler plusieurs disques durs.