SlideShare une entreprise Scribd logo

0170-pare-feux-firewalls.pdf

R
Riri687487

Cours sur le pare-feu

Ingénierie
1  sur  32
Télécharger pour lire hors ligne
1 Pare-feux (‘Firew alls’) Gérard Florin - CNAM - - Laboratoire CEDRIC - Cours de sécurité
2 Plan pare-feux I ntroduction Filtrage des paquets et des segments Conclusion Bibliographie
3 Pare-Feux I ntroduction
4 Pare-feux (‘firew alls’): Architecture de base Architecture de base Architecture de base Architecture de base ■ 1) Un domaine à protéger : un réseau ‘interne’. ■ Un réseau d’entreprise/personnel que l’on veut protèger ■ Vis à vis d’un réseau ‘externe’ d’ou des intrus sont suceptibles de conduire des attaques. ■ 2) Un pare-feu ■ Installé en un point de passage obligatoire entre le réseau à protéger (interne) et un réseau non sécuritaire (externe). ■ C’est un ensemble de différents composants matériels et logiciels qui contrôlent le traffic intérieur/extérieur selon une politique de sécurité. ■ Le pare-feu comporte assez souvent un seul logiciel, mais on peut avoir aussi un ensemble complexe comportant plusieurs filtres, plusieurs passerelles, plusieurs sous réseaux …. Réseau externe Réseau interne Pare-feu
5 Pare-feux (‘firew alls’): Définitions de base Définitions de base Définitions de base Définitions de base ■ 1) ‘Firewall’ : en anglais un mur qui empêche la propagation d’un incendie dans un bâtiment = > Français ‘mur pare-feu’. ■ 2) Pare-feu : en informatique une protection d’un réseau contre des attaques. ■ 3) Technique employée : le contrôle d’accès (le filtrage). ■ a) Notion de guichet : restriction de passage en un point précis et contrôle des requêtes. ■ b) Notion d’éloignement : empêcher un attaquant d’entrer dans un réseau protégé ou même de s’approcher de trop prés de machines sensibles. ■ c) Notion de confinement : empêcher les utilisateurs internes de sortir du domaine protègé sauf par un point précis. ■ d) Généralement un pare-feu concerne les couches basses Internet (IP/TCP/UDP), mais aussi la couche application (HTTP, FTP, SMTP…. ). ■ 4) I mage militaire la plus voisine de la réalité d’un pare-feu: les défenses d’un chateau-fort (murailles, douves, portes/pont levis, bastion= > confinement, défense en profondeur, filtrage).
6 Pare-feux : le possible et l’impossible le possible et l’impossible le possible et l’impossible le possible et l’impossible ■ Ce que peut faire un pare-feux : • 1) Etre un guichet de sécurité: un point central de contrôle de sécurité plutôt que de multiples contrôles dans différents logiciels clients ou serveurs. • 2) Appliquer une politique de contrôle d’accès. • 3) Enregistrer le traffic: construire des journaux de sécurité. • 4) Appliquer une défense en profondeur (multiples pare-feux) ■ Ce que ne peut pas faire un pare-feux : • 1) Protèger contre les utilisateurs internes (selon leurs droits). • 2) Protèger un réseau d’un traffic qui ne passe pas par le pare-feu (exemple de modems additionnels) • 3) Protéger contre les virus. • 4) Protéger contre des menaces imprévues (hors politique). • 5) Etre gratuit et se configurer tout seul.
7 Définir un politique de sécurité 1) Interdire tout par défaut 1) Interdire tout par défaut 1) Interdire tout par défaut 1) Interdire tout par défaut ■ Présentation générale de cette approche: ■ Tout ce qui n’est pas explicitement permis est interdit. ■ Mise en oeuvre : ■ Analyse des services utilisés par les utilisateurs. ■ Exemple 1 : Un hôte serveur de courrier doit pouvoir utiliser SMTP. ■ Exemple 2 : Un hôte devant accèder au Web doit pouvoir utiliser HTTP. ■ Définition des droits à donner : définition de la politique de sécurité. ■ Attribution des droits dans un outil appliquant la politique, Suppression de tous les autres droits. ■ Avantages/ inconvénients ■ Solution la plus sécuritaire et la plus confortable pour l’administrateur de la sécurité. ■ Solution qui limite considérablement les droits des usagers. ■ Solution la plus recommandée et la plus souvent utilisée.
8 Politiques de sécurité : 2) Autoriser tout par défaut 2) Autoriser tout par défaut 2) Autoriser tout par défaut 2) Autoriser tout par défaut ■ Présentation générale de la solution : ■ On permet tout sauf ce qui est considéré comme dangereux = > Tout ce qui n’est pas explicitement interdit est autorisé. ■ Mise en oeuvre : ■ On analyse les différents risques des applications qui doivent s’exécuter. = > On en déduit les interdictions à appliquer, on autorise tout le reste. ■ Exemple 1 : Interdire complètement les accès en Telnet depuis l’extérieur ou les autoriser sur une seule machine. ■ Exemple 2 : Interdire les transferts FTP ou les partages NFS depuis l’intérieur (protection des données). ■ Avantages/ inconvénients ■ Solution inconfortable pour l’administrateur de la sécurité. ■ Solution qui facilite l’accès des usagers au réseau. ■ Solution peu recommandée et peu utilisée.
9 Outils dans les pare-feux : 1) Filtre de paquets et de segments ■ Concerne le trafic échangé aux niveaux IP (paquets) et TCP/UDP (segments). ■ Ensemble de règles autorisant ou refusant un transfert combinant la plupart des informations disponibles dans les messages : adresses sources destination, indicateurs …. ■ En fait : définition d’une politique de sécurité à capacités. ■ Solution implantée à de nombreux emplacements dans les réseaux: ordinateurs clients ou serveurs, routeurs filtrants (‘screening router’), équipements dédiés. ■ Avantages : solution peu coûteuse et simple agissant sur tous les types de communications. ■ I nconvénients : ■ Des règles de filtrage correctes et bien adaptées aux besoins peuvent être difficiles à établir. ■ On n’agit qu’aux niveaux 3 et 4.
10 Architecture de pare-feu avec routeur filtrant (‘screening router’) Réseau externe Réseau interne Routeur Flux interdits Flux autorisés Flux interdits Flux autorisé Pare-feu
11 Outils dans les pare-feux : 2) Filtre applicatif (‘proxy’) ■ Proxy de sécurité : analyse du trafic échangé au niveau application (niveau 7) pour appliquer une politique de sécurité spécifique de chaque application. ■ Un serveur proxy est nécessaire : pour chaque protocole d’application SMTP, FTP, HTTP, ... ■ parcequ’il faut interprèter les messages de façon différente pour chaque application. ■ Contrôle des droits : implique que chaque usager soit authentifié. ■ Avantage : on peut intervenir de manière fine sur chaque zone des charges utiles transportées au niveau applicatif. ■ I nconvénient : solution coûteuse car il faut définir des droits complexes.
12 Outils dans les pare-feux : 3) Hôte à double réseau ■ Terminologie : Hôte à double réseau En anglais ‘Dual homed host’. ■ Définition : ■ Un hôte qui possède au moins deux interfaces réseaux (qui interconnecte au moins deux réseaux). ■ Propriété: ■ Si un hôte connecte deux sous réseaux, ■ Et s’il n’est pas configuré en routeur. ■ = > Il est impossible à un paquet de passer d’un réseau à l’autre sans être traité au niveau applicatif. ■ = > C’est un proxy incontournable.
13 Outils dans les pare-feux : 4) Bastion ■ Définition : ■ Un hôte exposé au réseau externe (rendu accessible de l’extérieur par la définition de la politique de sécurité). ■ Il constitue un point de contact entre réseau externe et réseau interne. ■ Serveur pour un ensemble de services prédéfinis : ■ Service toile (HTTP), service de noms (DNS), service de messagerie …. ■ Le bastion peut agir en rendant directement le service concerné. ■ Le bastion peut agir en relayant les requêtes vers d’autres serveurs après avoir effectué un contôle d’accès applicatif (proxy-serveur). ■ Le bastion doit être incontournable pour l’ensemble des services prévus. ■ Le bastion peut servir dans la détection d’intrusion: ■ Analyse des communications pour détecter des attaques : IDS (‘Intrusion Detection System’). ■ Fonction pot de miel (Honeypot) : un service semblant attractif pour un attaquant et qui n’est en réalité qu’un piège pour détecter l’attaquant.
14 Architecture de pare-feu avec routeur filtrant et bastion Réseau externe Réseau interne Routeur filtrant Pare-feu Bastion
15 Outils dans les pare-feux : 5) Zone démilitarisée (réseau exposé) ■ Terminologie : ■ Réseau exposé, réseau périphérique ( ‘Peripheral Network’) ■ Zone démilitarizée , DMZ, ‘De Militarized Zone’ ■ Définition : ■ Une partie d’un pare-feu qui est un sous-réseau. ■ Ce sous réseau placé en passerelle entre un réseau à protéger et un réseau externe non protégé. ■ Propriétés visées : ■ La zone démilitarizée est plus ouverte sur le réseau externe que le réseau interne. ■ Elle dessert les systèmes exposés à l’extérieur : principalement les bastions .
16 Architecture de pare-feu avec routeurs, bastions et DMZ Réseau externe Réseau interne Routeur filtrant externe Pare-feu Bastion Routeur filtrant interne Bastion Réseau Exposé (DMZ)
17 En association avec le pare-feu : 6) Traducteur d’adresses NAT ■ Traduction des adresses I P et TCP : ■ NAT ‘Network Address Translation’ et PAT ‘Port Address Translation’ = > Traduction combinée de port et d'adresse réseau: NAPT ‘Network Address and Port Translation’. ■ Solution introduite pour économiser des adresses IP V4. ■ Solution utilisée en sécurité: ■ NAPT permet de cacher le plan d’adressage interne: les adresses IP et les numéros de port ne sont plus connus à l’extérieur. ■ NAPT n’autorise pas les connexions initialisées depuis le réseau externe. ■ Solution différente du filtrage de paquets mais solution complémentaire.
18 Pare-Feux Filtrage des paquets et des segments
19 Rappel: Structure d’un datagramme Structure d’un datagramme Structure d’un datagramme Structure d’un datagramme IP avec un segment TCP IP avec un segment TCP IP avec un segment TCP IP avec un segment TCP
20 Zones importantes pour les pare-feux (1) ■ Protocole de niveau liaison (PPP, niveau mac): ■ Zone protocole utilisateur (démultiplexage): IP, IPX … ■ Zones adresses: Adresses Ethernet IEEE802, (permettent de déterminer la source et la destination sur la liaison donc l’entrée ou la sortie) ■ Protocole I P: ■ Adresses source et destination. ■ Drapeaux (Flags): en particulier ceux qui concernent la fragmentation. ■ Le type de protocole destinataire: TCP, UDP, ICMP, ... ■ Analyse des zones d’extension par exemple en routage par la source = > Demande de destruction de ces datagrammes car utilisation possible du routage par la source en attaque.
21 Zones importantes pour les pare-feux (2) ■ Protocole TCP : ■ Numéros de port source et destination: permet d’estimer quel est le service concerné dans la mesure ou l’on respecte l’utilisation des numéros bien connus = > Il est toujours possible pour un attaquant d’usurper un numéro de port. ■ Drapeaux de contrôle (flags) ■ ACK: positionné sauf dans le premier segment (utilisation possible pour bloquer des connexions). ■ SYN: positionné dans les deux premiers segments (permet d’identifier les connexions). ■ RST: fermeture non négociée de connexion. ■ Protocole d’application : ■ Analyse non réalisée par les filtres de paquets mais par les proxys serveurs. ■ L’application filtrée doit être très stabilisée.
22 Les principaux services Internet à contrôler ■ Le courrier électronique SMTP Simple Mail Transfer Protocol. ■ Le transfert de fichiers FTP File Transfer Protocol et l’accès fichier distant NFS Network File System. ■ Les accès à distance protocoles telnet, rlogin, ssh ■ La toile HTTP Hypertext Transfer Protocol ■ Les informations sur les utilisateurs: finger ■ Les services de conferences CUseeMe, Netmeeting, … ■ L’annuaire des noms de domaine DNS Domain Name Service. ■ L’administration de réseau SNMP Simple Network Management Protocol. ■ La synchronisation d’horloges NTP Network Time Protocol. ■ Les systèmes multi fenêtres X-Windows ■ Les systèmes d’impressions LPR/ LPD Line Printing ■ Les nouvelles (news) NNTP Network News Transfer Protocol.
23 Sémantique du filtrage des paquets : Trois notions de direction (1) Trois notions de direction (1) Trois notions de direction (1) Trois notions de direction (1) ■ Les règles sont assez souvent exprimées selon une notion de direction : entrant ou sortant. ■ 1) Direction associée au réseau à protéger. ■ Les règles ne sont pas symétriques : on donne des droits à un hôte interne vers l’extérieur et on refuse ces droits de l’extérieur vers l’intérieur. ■ 2) Position du filtrage dans un routeur filtrant selon l’interface. ■ Application d’une règle de filtrage : soit des la réception (on filtre les paquets arrivés) ou avant l’émission (on filtre les paquets après le routage juste avant la sortie) Réseau interne Filtre Réseau externe Direction sortante Direction entrante Filtre Paquet entrant Paquet sortant Paquet entrant Paquet sortant Paquet entrant Paquet sortant
24 Sémantique du filtrage des paquets : Trois notions de direction (2) Trois notions de direction (2) Trois notions de direction (2) Trois notions de direction (2) ■ 3) Notion de direction selon le sens de connexion ■ La direction concerne des connexions (ouvreur actif TCP vers ouvreur passif) ou des services applicatifs (client/serveur). ■ Règles concernant des services sortants : la connexion est à la demande d’un ouvreur ou d’un client interne (Exemple: telnet sortant). ■ Règles concernant des services entrants : la connexion est à la demande d’un ouvreur ou d’un client externe (Exemple: http entrant). ■ Conclusion : Introduction dans certains filtres d’un sémantique de sens dans l’expression des règles = > Bien connaître la sémantique de la direction dans le filtre utilisé concernant les notions d’entrant et de sortant.
25 Les trois étapes du filtrage : Etape 1 : Spécification abstraite Etape 1 : Spécification abstraite Etape 1 : Spécification abstraite Etape 1 : Spécification abstraite ■ Définir abstraitement la politique de sécurité : ce qui est autorisé et ce qui est interdit • Choisir une politique d’ensemble: Solution 1) Tout ce qui n’est pas explicitement autorisé est interdit. Solution 2) Tout ce qui n’est pas explicitement interdit est autorisé. • Enoncer des règles Exemple de règle 1) Autoriser un hôte intrene à recevoir du courrier électronique de toute provenance parceque c’est un serveur de courrier smtp. Exemple de règle 2) Interdire à un hôte externe précis d’envoyer du courrier SMTP à un serveur de courrier interne parcequ’il est en liste noire.
26 Les trois étapes du filtrage : Etape 2: Etablir des règles précises Etape 2: Etablir des règles précises Etape 2: Etablir des règles précises Etape 2: Etablir des règles précises ■ Traduire la politique de sécurité en des règles précises concernant des communications I P • Régles concernant des datagrammes IP : adresses source/destination, protocole utilisateur TCP port source/destination, indicateurs TCP, autres • Exemple 1) Règle interdisant tout par défaut • Exemple 2) Règle autorisant la reception du courrier par un serveur • Exemple 3)Règle interdisant l’émission par un serveur de courrier suspect TCP * * * Smtp_distant Interdire Complément Port Dest IP Dest Port Source IP Source Règle TCP 25 Smtp-local * * Autoriser Complément Port Dest IP Dest Port Source IP Source Règle TCP * * * * Interdire Complément Port Dest IP Dest Port Source IP Source Règle
27 Les trois étapes du filtrage : Etape 3 : Configurer un outil précis Etape 3 : Configurer un outil précis Etape 3 : Configurer un outil précis Etape 3 : Configurer un outil précis ■ Rentrer les règles dans un pare-feu réel en utilisant la syntaxe et la sémantique de l’interface de l’outil ■ Sémantique la plus fréquente : exploitation des règles dans l’ordre. ■ La première règle satisfaite provoque l’autorisation de la transmission ou la destruction du datagramme. ■ En fait un pare-feu interprète un programme qui est une suite de: si (condition sur datagramme) alors action (autoriser/interdire). ■ Exemple : Liste ordonnée des règles précédentes. ■ Transformer les règles dans la syntaxe du pare-feu disponible Exemple : Syntaxe de règle avec le pare-feu LINUX (iptables). [root@ firewall]# iptables –A FORWARD –p smtp –d 192.168.0.10 –j ACCEPT TCP 25 Smtp_local * * Autoriser TCP * * * * Interdire TCP * * * Smtp-distant Interdire Complément Port Dest IP Dest Port Source IP Source Règle
28 Affiner les règles de filtrage Utilisation des indicateurs : ACK Utilisation des indicateurs : ACK Utilisation des indicateurs : ACK Utilisation des indicateurs : ACK ■ Exemple d’utilisation d’indicateurs (‘flags’) TCP. ■ Besoin fréquent : autoriser la connexion d’un client interne sur un serveur interne (ou externe) mais refuser la connexion d’un client externe sur le même serveur interne. ■ Une solution : l’utilisation de l’indicateur ACK en TCP. ■ Rappel : Fonctionnement de l’ACK. ■ ACK présent dans pratiquement tous les segments sauf le premier (exception les segments RST qu’on peut autoriser explicitement). ■ Il suffit de bloquer un segment sans ACK pour interdire la mise en place donc l’existence d’une connexion. Envoyer SYN, seq= x Recevoir segment SYN Envoyer SYN, seq= y ACK x+ 1 Recevoir SYN, ACK segment Envoyer ACK y+ 1 Recevoir segment ACK segment ACK segment ACK segment ACK segment ACK
29 Filtrage avec indicateur ACK TCP : Fonctionnement précis Fonctionnement précis Fonctionnement précis Fonctionnement précis ■ Première politique : un client autorisé peut utiliser un service de numéro de port bien connu ou qu’il soit. • La première régle autorise certains hôtes sélectionnés (possiblement tout mon domaine) à communiquer avec un service distant (interne ou externe) de numéro de port bien connu (noté ici service-tcp, par ex 80). ■ Seconde politique : un site externe ne peut commencer une communication avec un serveur interne sur le port bien connu mais il peut continuer une communication qui a été initialisée. • La seconde régle autorise tous les hôtes de l’internet (internes ou externes) qui utilisent le numéro de port bien connu à communiquer à condition que le bit ACK soit positionné = > on autorise en fait les réponses par un serveur à une communication initialisée en interne. TCP, ACK * * Service-TCP * Autoriser TCP Service-TCP * * Mes-hotes Autoriser Complément Port Dest IP Dest Port Source IP Source Règle
30 Conclusion Conclusion Conclusion Conclusion Avantages des filtres de paquets Avantages des filtres de paquets Avantages des filtres de paquets Avantages des filtres de paquets ■Un filtre de paquets peut protéger en un seul dispositif tout un réseau d’entreprise. ■La mise en place du filtre peut être réalisée par l’équipe système indépendamment des usagers qui gèrent les postes clients ou serveurs. ■Les filtres de paquets sont très répandus ■dans tous les routeurs ■sous forme de logiciels filtres logiciels libres ou propriétaires.
31 Conclusion : Inconvénients des Conclusion : Inconvénients des Conclusion : Inconvénients des Conclusion : Inconvénients des filtres de paquets filtres de paquets filtres de paquets filtres de paquets ■ Le filtrage de paquets pose des problèmes de mise en oeuvre. ■ Règles difficiles à définir. ■ Règles difficiles à assembler en une suite cohérente. ■ Fonctionnalités des filtres dont on dispose spécifiques ou incomplètes ou difficiles à comprendre. ■ Certains protocoles applicatifs posent des problèmes pour le filtrage ■ Exemples : utilisation de ports alloués dynamiquement. ■ Les filtres de paquets ne prennent pas en compte les données des applications ■ Exemple: filtrer sur le nom d’un usager dans un accès distant ou dans un transfert de fichier. ■ Nécessité de mettre en œuvre des proxys.
32 Bibliographie : Bibliographie : Bibliographie : Bibliographie : Pare Pare Pare Pare- - - -feux feux feux feux ■D. Brent Chapman, Elisabeth D. Wwicky ‘La sécurité sur I nternet Firewalls’ O’Reilly , 1996. ■William R. Cheswick, Steven M. Bellovin, ‘Firewalls and I nternet security’, Addison Wesley, 1994.

Recommandé

fortinet et sécurité.pdf
fortinet et sécurité.pdffortinet et sécurité.pdf
fortinet et sécurité.pdfinformatiquehageryah
 
Pare feu
Pare feuPare feu
Pare feuABDELKADER ABDOKABOUYA
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011infcom
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Inf4420 final a05-solutions
Inf4420 final a05-solutionsInf4420 final a05-solutions
Inf4420 final a05-solutionsmouad11
 

Recommandé

fortinet et sécurité.pdf
fortinet et sécurité.pdffortinet et sécurité.pdf
fortinet et sécurité.pdfinformatiquehageryah
 
Pare feu
Pare feuPare feu
Pare feuABDELKADER ABDOKABOUYA
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011infcom
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Inf4420 final a05-solutions
Inf4420 final a05-solutionsInf4420 final a05-solutions
Inf4420 final a05-solutionsmouad11
 
Exposéréseau
ExposéréseauExposéréseau
ExposéréseauNoura Mohamed
 
How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14Sebastien Larinier
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel EverteamEverteam
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxAbdellahELMAMOUN
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfngombeemmanuel
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelWeb à Québec
 
Ccna4
Ccna4Ccna4
Ccna4CONNECT Tunisia
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdfsirinejlassi1
 
Rapport projet
Rapport projetRapport projet
Rapport projetKhadija Dija
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)medalaa
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNManuel Cédric EBODE MBALLA
 
Fortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxFortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxinformatiquehageryah
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 
JTC 2024 Bâtiment et Photovoltaïque.pdf
JTC 2024 Bâtiment et Photovoltaïque.pdfJTC 2024 Bâtiment et Photovoltaïque.pdf
JTC 2024 Bâtiment et Photovoltaïque.pdfInstitut de l'Elevage - Idele
 
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdfJTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdfInstitut de l'Elevage - Idele
 

Contenu connexe

Similaire à 0170-pare-feux-firewalls.pdf

How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14Sebastien Larinier
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel EverteamEverteam
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxAbdellahELMAMOUN
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfngombeemmanuel
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelWeb à Québec
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)medalaa
 
Fortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxFortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxinformatiquehageryah
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Mame Cheikh Ibra Niang
 

Similaire à 0170-pare-feux-firewalls.pdf (20)

Exposéréseau
ExposéréseauExposéréseau
Exposéréseau
 
How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14How with Suricata you save the world - NDH2K14
How with Suricata you save the world - NDH2K14
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard Lebel
 
Ccna4
Ccna4Ccna4
Ccna4
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
supervision réseau (snmp netflow)
supervision réseau (snmp netflow) supervision réseau (snmp netflow)
supervision réseau (snmp netflow)
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPN
 
Fortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxFortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptx
 
Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
 

Dernier

JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdfJTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdfInstitut de l'Elevage - Idele
 
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...Institut de l'Elevage - Idele
 
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...Institut de l'Elevage - Idele
 
JTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdfJTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdfInstitut de l'Elevage - Idele
 
comprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestioncomprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestionyakinekaidouchi1
 
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenusGAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenusInstitut de l'Elevage - Idele
 
Algo II : les piles ( cours + exercices)
Algo II : les piles ( cours + exercices)Algo II : les piles ( cours + exercices)
Algo II : les piles ( cours + exercices)Sana REFAI
 
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...Institut de l'Elevage - Idele
 
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...Institut de l'Elevage - Idele
 
WBS OBS RACI_2020-etunhjjlllllll pdf.pdf
WBS OBS RACI_2020-etunhjjlllllll pdf.pdfWBS OBS RACI_2020-etunhjjlllllll pdf.pdf
WBS OBS RACI_2020-etunhjjlllllll pdf.pdfSophie569778
 
GAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversitéGAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversitéInstitut de l'Elevage - Idele
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfmia884611
 
GAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentesGAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentesInstitut de l'Elevage - Idele
 
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...Institut de l'Elevage - Idele
 
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...Institut de l'Elevage - Idele
 
GAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageGAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageInstitut de l'Elevage - Idele
 
conception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancherconception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de planchermansouriahlam
 

Dernier (20)

JTC 2024 Bâtiment et Photovoltaïque.pdf
JTC 2024 Bâtiment et Photovoltaïque.pdfJTC 2024 Bâtiment et Photovoltaïque.pdf
JTC 2024 Bâtiment et Photovoltaïque.pdf
 
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdfJTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
JTC 2024 - SMARTER Retour sur les indicateurs de santé .pdf
 
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
GAL2024 - Parcellaire des fermes laitières : en enjeu de compétitivité et de ...
 
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
GAL2024 - Consommations et productions d'énergies dans les exploitations lait...
 
JTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdfJTC 2024 La relance de la filière de la viande de chevreau.pdf
JTC 2024 La relance de la filière de la viande de chevreau.pdf
 
comprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestioncomprehension de DDMRP dans le domaine de gestion
comprehension de DDMRP dans le domaine de gestion
 
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenusGAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
GAL2024 - Situation laitière 2023-2024 : consommation, marchés, prix et revenus
 
Algo II : les piles ( cours + exercices)
Algo II : les piles ( cours + exercices)Algo II : les piles ( cours + exercices)
Algo II : les piles ( cours + exercices)
 
CAP2ER_GC_Presentation_Outil_20240422.pptx
CAP2ER_GC_Presentation_Outil_20240422.pptxCAP2ER_GC_Presentation_Outil_20240422.pptx
CAP2ER_GC_Presentation_Outil_20240422.pptx
 
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
GAL2024 - Traite des vaches laitières : au coeur des stratégies d'évolution d...
 
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
GAL2024 - Renouvellement des actifs : un enjeu pour la filière laitière franç...
 
WBS OBS RACI_2020-etunhjjlllllll pdf.pdf
WBS OBS RACI_2020-etunhjjlllllll pdf.pdfWBS OBS RACI_2020-etunhjjlllllll pdf.pdf
WBS OBS RACI_2020-etunhjjlllllll pdf.pdf
 
GAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversitéGAL2024 - L'élevage laitier cultive la biodiversité
GAL2024 - L'élevage laitier cultive la biodiversité
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
GAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentesGAL2024 - Changements climatiques et maladies émergentes
GAL2024 - Changements climatiques et maladies émergentes
 
JTC 2024 - DeCremoux_Anomalies_génétiques.pdf
JTC 2024 - DeCremoux_Anomalies_génétiques.pdfJTC 2024 - DeCremoux_Anomalies_génétiques.pdf
JTC 2024 - DeCremoux_Anomalies_génétiques.pdf
 
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
JTC 2024 - Leviers d’adaptation au changement climatique, qualité du lait et ...
 
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
GAL2024 - Méthane 2030 : une démarche collective française à destination de t...
 
GAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engageGAL2024 - Décarbonation du secteur laitier : la filière s'engage
GAL2024 - Décarbonation du secteur laitier : la filière s'engage
 
conception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancherconception d'un batiment r+4 comparative de defferente ariante de plancher
conception d'un batiment r+4 comparative de defferente ariante de plancher
 

0170-pare-feux-firewalls.pdf

  • 1. 1 Pare-feux (‘Firew alls’) Gérard Florin - CNAM - - Laboratoire CEDRIC - Cours de sécurité
  • 2. 2 Plan pare-feux I ntroduction Filtrage des paquets et des segments Conclusion Bibliographie
  • 4. 4 Pare-feux (‘firew alls’): Architecture de base Architecture de base Architecture de base Architecture de base ■ 1) Un domaine à protéger : un réseau ‘interne’. ■ Un réseau d’entreprise/personnel que l’on veut protèger ■ Vis à vis d’un réseau ‘externe’ d’ou des intrus sont suceptibles de conduire des attaques. ■ 2) Un pare-feu ■ Installé en un point de passage obligatoire entre le réseau à protéger (interne) et un réseau non sécuritaire (externe). ■ C’est un ensemble de différents composants matériels et logiciels qui contrôlent le traffic intérieur/extérieur selon une politique de sécurité. ■ Le pare-feu comporte assez souvent un seul logiciel, mais on peut avoir aussi un ensemble complexe comportant plusieurs filtres, plusieurs passerelles, plusieurs sous réseaux …. Réseau externe Réseau interne Pare-feu
  • 5. 5 Pare-feux (‘firew alls’): Définitions de base Définitions de base Définitions de base Définitions de base ■ 1) ‘Firewall’ : en anglais un mur qui empêche la propagation d’un incendie dans un bâtiment = > Français ‘mur pare-feu’. ■ 2) Pare-feu : en informatique une protection d’un réseau contre des attaques. ■ 3) Technique employée : le contrôle d’accès (le filtrage). ■ a) Notion de guichet : restriction de passage en un point précis et contrôle des requêtes. ■ b) Notion d’éloignement : empêcher un attaquant d’entrer dans un réseau protégé ou même de s’approcher de trop prés de machines sensibles. ■ c) Notion de confinement : empêcher les utilisateurs internes de sortir du domaine protègé sauf par un point précis. ■ d) Généralement un pare-feu concerne les couches basses Internet (IP/TCP/UDP), mais aussi la couche application (HTTP, FTP, SMTP…. ). ■ 4) I mage militaire la plus voisine de la réalité d’un pare-feu: les défenses d’un chateau-fort (murailles, douves, portes/pont levis, bastion= > confinement, défense en profondeur, filtrage).
  • 6. 6 Pare-feux : le possible et l’impossible le possible et l’impossible le possible et l’impossible le possible et l’impossible ■ Ce que peut faire un pare-feux : • 1) Etre un guichet de sécurité: un point central de contrôle de sécurité plutôt que de multiples contrôles dans différents logiciels clients ou serveurs. • 2) Appliquer une politique de contrôle d’accès. • 3) Enregistrer le traffic: construire des journaux de sécurité. • 4) Appliquer une défense en profondeur (multiples pare-feux) ■ Ce que ne peut pas faire un pare-feux : • 1) Protèger contre les utilisateurs internes (selon leurs droits). • 2) Protèger un réseau d’un traffic qui ne passe pas par le pare-feu (exemple de modems additionnels) • 3) Protéger contre les virus. • 4) Protéger contre des menaces imprévues (hors politique). • 5) Etre gratuit et se configurer tout seul.
  • 7. 7 Définir un politique de sécurité 1) Interdire tout par défaut 1) Interdire tout par défaut 1) Interdire tout par défaut 1) Interdire tout par défaut ■ Présentation générale de cette approche: ■ Tout ce qui n’est pas explicitement permis est interdit. ■ Mise en oeuvre : ■ Analyse des services utilisés par les utilisateurs. ■ Exemple 1 : Un hôte serveur de courrier doit pouvoir utiliser SMTP. ■ Exemple 2 : Un hôte devant accèder au Web doit pouvoir utiliser HTTP. ■ Définition des droits à donner : définition de la politique de sécurité. ■ Attribution des droits dans un outil appliquant la politique, Suppression de tous les autres droits. ■ Avantages/ inconvénients ■ Solution la plus sécuritaire et la plus confortable pour l’administrateur de la sécurité. ■ Solution qui limite considérablement les droits des usagers. ■ Solution la plus recommandée et la plus souvent utilisée.
  • 8. 8 Politiques de sécurité : 2) Autoriser tout par défaut 2) Autoriser tout par défaut 2) Autoriser tout par défaut 2) Autoriser tout par défaut ■ Présentation générale de la solution : ■ On permet tout sauf ce qui est considéré comme dangereux = > Tout ce qui n’est pas explicitement interdit est autorisé. ■ Mise en oeuvre : ■ On analyse les différents risques des applications qui doivent s’exécuter. = > On en déduit les interdictions à appliquer, on autorise tout le reste. ■ Exemple 1 : Interdire complètement les accès en Telnet depuis l’extérieur ou les autoriser sur une seule machine. ■ Exemple 2 : Interdire les transferts FTP ou les partages NFS depuis l’intérieur (protection des données). ■ Avantages/ inconvénients ■ Solution inconfortable pour l’administrateur de la sécurité. ■ Solution qui facilite l’accès des usagers au réseau. ■ Solution peu recommandée et peu utilisée.
  • 9. 9 Outils dans les pare-feux : 1) Filtre de paquets et de segments ■ Concerne le trafic échangé aux niveaux IP (paquets) et TCP/UDP (segments). ■ Ensemble de règles autorisant ou refusant un transfert combinant la plupart des informations disponibles dans les messages : adresses sources destination, indicateurs …. ■ En fait : définition d’une politique de sécurité à capacités. ■ Solution implantée à de nombreux emplacements dans les réseaux: ordinateurs clients ou serveurs, routeurs filtrants (‘screening router’), équipements dédiés. ■ Avantages : solution peu coûteuse et simple agissant sur tous les types de communications. ■ I nconvénients : ■ Des règles de filtrage correctes et bien adaptées aux besoins peuvent être difficiles à établir. ■ On n’agit qu’aux niveaux 3 et 4.
  • 10. 10 Architecture de pare-feu avec routeur filtrant (‘screening router’) Réseau externe Réseau interne Routeur Flux interdits Flux autorisés Flux interdits Flux autorisé Pare-feu
  • 11. 11 Outils dans les pare-feux : 2) Filtre applicatif (‘proxy’) ■ Proxy de sécurité : analyse du trafic échangé au niveau application (niveau 7) pour appliquer une politique de sécurité spécifique de chaque application. ■ Un serveur proxy est nécessaire : pour chaque protocole d’application SMTP, FTP, HTTP, ... ■ parcequ’il faut interprèter les messages de façon différente pour chaque application. ■ Contrôle des droits : implique que chaque usager soit authentifié. ■ Avantage : on peut intervenir de manière fine sur chaque zone des charges utiles transportées au niveau applicatif. ■ I nconvénient : solution coûteuse car il faut définir des droits complexes.
  • 12. 12 Outils dans les pare-feux : 3) Hôte à double réseau ■ Terminologie : Hôte à double réseau En anglais ‘Dual homed host’. ■ Définition : ■ Un hôte qui possède au moins deux interfaces réseaux (qui interconnecte au moins deux réseaux). ■ Propriété: ■ Si un hôte connecte deux sous réseaux, ■ Et s’il n’est pas configuré en routeur. ■ = > Il est impossible à un paquet de passer d’un réseau à l’autre sans être traité au niveau applicatif. ■ = > C’est un proxy incontournable.
  • 13. 13 Outils dans les pare-feux : 4) Bastion ■ Définition : ■ Un hôte exposé au réseau externe (rendu accessible de l’extérieur par la définition de la politique de sécurité). ■ Il constitue un point de contact entre réseau externe et réseau interne. ■ Serveur pour un ensemble de services prédéfinis : ■ Service toile (HTTP), service de noms (DNS), service de messagerie …. ■ Le bastion peut agir en rendant directement le service concerné. ■ Le bastion peut agir en relayant les requêtes vers d’autres serveurs après avoir effectué un contôle d’accès applicatif (proxy-serveur). ■ Le bastion doit être incontournable pour l’ensemble des services prévus. ■ Le bastion peut servir dans la détection d’intrusion: ■ Analyse des communications pour détecter des attaques : IDS (‘Intrusion Detection System’). ■ Fonction pot de miel (Honeypot) : un service semblant attractif pour un attaquant et qui n’est en réalité qu’un piège pour détecter l’attaquant.
  • 14. 14 Architecture de pare-feu avec routeur filtrant et bastion Réseau externe Réseau interne Routeur filtrant Pare-feu Bastion
  • 15. 15 Outils dans les pare-feux : 5) Zone démilitarisée (réseau exposé) ■ Terminologie : ■ Réseau exposé, réseau périphérique ( ‘Peripheral Network’) ■ Zone démilitarizée , DMZ, ‘De Militarized Zone’ ■ Définition : ■ Une partie d’un pare-feu qui est un sous-réseau. ■ Ce sous réseau placé en passerelle entre un réseau à protéger et un réseau externe non protégé. ■ Propriétés visées : ■ La zone démilitarizée est plus ouverte sur le réseau externe que le réseau interne. ■ Elle dessert les systèmes exposés à l’extérieur : principalement les bastions .
  • 16. 16 Architecture de pare-feu avec routeurs, bastions et DMZ Réseau externe Réseau interne Routeur filtrant externe Pare-feu Bastion Routeur filtrant interne Bastion Réseau Exposé (DMZ)
  • 17. 17 En association avec le pare-feu : 6) Traducteur d’adresses NAT ■ Traduction des adresses I P et TCP : ■ NAT ‘Network Address Translation’ et PAT ‘Port Address Translation’ = > Traduction combinée de port et d'adresse réseau: NAPT ‘Network Address and Port Translation’. ■ Solution introduite pour économiser des adresses IP V4. ■ Solution utilisée en sécurité: ■ NAPT permet de cacher le plan d’adressage interne: les adresses IP et les numéros de port ne sont plus connus à l’extérieur. ■ NAPT n’autorise pas les connexions initialisées depuis le réseau externe. ■ Solution différente du filtrage de paquets mais solution complémentaire.
  • 19. 19 Rappel: Structure d’un datagramme Structure d’un datagramme Structure d’un datagramme Structure d’un datagramme IP avec un segment TCP IP avec un segment TCP IP avec un segment TCP IP avec un segment TCP
  • 20. 20 Zones importantes pour les pare-feux (1) ■ Protocole de niveau liaison (PPP, niveau mac): ■ Zone protocole utilisateur (démultiplexage): IP, IPX … ■ Zones adresses: Adresses Ethernet IEEE802, (permettent de déterminer la source et la destination sur la liaison donc l’entrée ou la sortie) ■ Protocole I P: ■ Adresses source et destination. ■ Drapeaux (Flags): en particulier ceux qui concernent la fragmentation. ■ Le type de protocole destinataire: TCP, UDP, ICMP, ... ■ Analyse des zones d’extension par exemple en routage par la source = > Demande de destruction de ces datagrammes car utilisation possible du routage par la source en attaque.
  • 21. 21 Zones importantes pour les pare-feux (2) ■ Protocole TCP : ■ Numéros de port source et destination: permet d’estimer quel est le service concerné dans la mesure ou l’on respecte l’utilisation des numéros bien connus = > Il est toujours possible pour un attaquant d’usurper un numéro de port. ■ Drapeaux de contrôle (flags) ■ ACK: positionné sauf dans le premier segment (utilisation possible pour bloquer des connexions). ■ SYN: positionné dans les deux premiers segments (permet d’identifier les connexions). ■ RST: fermeture non négociée de connexion. ■ Protocole d’application : ■ Analyse non réalisée par les filtres de paquets mais par les proxys serveurs. ■ L’application filtrée doit être très stabilisée.
  • 22. 22 Les principaux services Internet à contrôler ■ Le courrier électronique SMTP Simple Mail Transfer Protocol. ■ Le transfert de fichiers FTP File Transfer Protocol et l’accès fichier distant NFS Network File System. ■ Les accès à distance protocoles telnet, rlogin, ssh ■ La toile HTTP Hypertext Transfer Protocol ■ Les informations sur les utilisateurs: finger ■ Les services de conferences CUseeMe, Netmeeting, … ■ L’annuaire des noms de domaine DNS Domain Name Service. ■ L’administration de réseau SNMP Simple Network Management Protocol. ■ La synchronisation d’horloges NTP Network Time Protocol. ■ Les systèmes multi fenêtres X-Windows ■ Les systèmes d’impressions LPR/ LPD Line Printing ■ Les nouvelles (news) NNTP Network News Transfer Protocol.
  • 23. 23 Sémantique du filtrage des paquets : Trois notions de direction (1) Trois notions de direction (1) Trois notions de direction (1) Trois notions de direction (1) ■ Les règles sont assez souvent exprimées selon une notion de direction : entrant ou sortant. ■ 1) Direction associée au réseau à protéger. ■ Les règles ne sont pas symétriques : on donne des droits à un hôte interne vers l’extérieur et on refuse ces droits de l’extérieur vers l’intérieur. ■ 2) Position du filtrage dans un routeur filtrant selon l’interface. ■ Application d’une règle de filtrage : soit des la réception (on filtre les paquets arrivés) ou avant l’émission (on filtre les paquets après le routage juste avant la sortie) Réseau interne Filtre Réseau externe Direction sortante Direction entrante Filtre Paquet entrant Paquet sortant Paquet entrant Paquet sortant Paquet entrant Paquet sortant
  • 24. 24 Sémantique du filtrage des paquets : Trois notions de direction (2) Trois notions de direction (2) Trois notions de direction (2) Trois notions de direction (2) ■ 3) Notion de direction selon le sens de connexion ■ La direction concerne des connexions (ouvreur actif TCP vers ouvreur passif) ou des services applicatifs (client/serveur). ■ Règles concernant des services sortants : la connexion est à la demande d’un ouvreur ou d’un client interne (Exemple: telnet sortant). ■ Règles concernant des services entrants : la connexion est à la demande d’un ouvreur ou d’un client externe (Exemple: http entrant). ■ Conclusion : Introduction dans certains filtres d’un sémantique de sens dans l’expression des règles = > Bien connaître la sémantique de la direction dans le filtre utilisé concernant les notions d’entrant et de sortant.
  • 25. 25 Les trois étapes du filtrage : Etape 1 : Spécification abstraite Etape 1 : Spécification abstraite Etape 1 : Spécification abstraite Etape 1 : Spécification abstraite ■ Définir abstraitement la politique de sécurité : ce qui est autorisé et ce qui est interdit • Choisir une politique d’ensemble: Solution 1) Tout ce qui n’est pas explicitement autorisé est interdit. Solution 2) Tout ce qui n’est pas explicitement interdit est autorisé. • Enoncer des règles Exemple de règle 1) Autoriser un hôte intrene à recevoir du courrier électronique de toute provenance parceque c’est un serveur de courrier smtp. Exemple de règle 2) Interdire à un hôte externe précis d’envoyer du courrier SMTP à un serveur de courrier interne parcequ’il est en liste noire.
  • 26. 26 Les trois étapes du filtrage : Etape 2: Etablir des règles précises Etape 2: Etablir des règles précises Etape 2: Etablir des règles précises Etape 2: Etablir des règles précises ■ Traduire la politique de sécurité en des règles précises concernant des communications I P • Régles concernant des datagrammes IP : adresses source/destination, protocole utilisateur TCP port source/destination, indicateurs TCP, autres • Exemple 1) Règle interdisant tout par défaut • Exemple 2) Règle autorisant la reception du courrier par un serveur • Exemple 3)Règle interdisant l’émission par un serveur de courrier suspect TCP * * * Smtp_distant Interdire Complément Port Dest IP Dest Port Source IP Source Règle TCP 25 Smtp-local * * Autoriser Complément Port Dest IP Dest Port Source IP Source Règle TCP * * * * Interdire Complément Port Dest IP Dest Port Source IP Source Règle
  • 27. 27 Les trois étapes du filtrage : Etape 3 : Configurer un outil précis Etape 3 : Configurer un outil précis Etape 3 : Configurer un outil précis Etape 3 : Configurer un outil précis ■ Rentrer les règles dans un pare-feu réel en utilisant la syntaxe et la sémantique de l’interface de l’outil ■ Sémantique la plus fréquente : exploitation des règles dans l’ordre. ■ La première règle satisfaite provoque l’autorisation de la transmission ou la destruction du datagramme. ■ En fait un pare-feu interprète un programme qui est une suite de: si (condition sur datagramme) alors action (autoriser/interdire). ■ Exemple : Liste ordonnée des règles précédentes. ■ Transformer les règles dans la syntaxe du pare-feu disponible Exemple : Syntaxe de règle avec le pare-feu LINUX (iptables). [root@ firewall]# iptables –A FORWARD –p smtp –d 192.168.0.10 –j ACCEPT TCP 25 Smtp_local * * Autoriser TCP * * * * Interdire TCP * * * Smtp-distant Interdire Complément Port Dest IP Dest Port Source IP Source Règle
  • 28. 28 Affiner les règles de filtrage Utilisation des indicateurs : ACK Utilisation des indicateurs : ACK Utilisation des indicateurs : ACK Utilisation des indicateurs : ACK ■ Exemple d’utilisation d’indicateurs (‘flags’) TCP. ■ Besoin fréquent : autoriser la connexion d’un client interne sur un serveur interne (ou externe) mais refuser la connexion d’un client externe sur le même serveur interne. ■ Une solution : l’utilisation de l’indicateur ACK en TCP. ■ Rappel : Fonctionnement de l’ACK. ■ ACK présent dans pratiquement tous les segments sauf le premier (exception les segments RST qu’on peut autoriser explicitement). ■ Il suffit de bloquer un segment sans ACK pour interdire la mise en place donc l’existence d’une connexion. Envoyer SYN, seq= x Recevoir segment SYN Envoyer SYN, seq= y ACK x+ 1 Recevoir SYN, ACK segment Envoyer ACK y+ 1 Recevoir segment ACK segment ACK segment ACK segment ACK segment ACK
  • 29. 29 Filtrage avec indicateur ACK TCP : Fonctionnement précis Fonctionnement précis Fonctionnement précis Fonctionnement précis ■ Première politique : un client autorisé peut utiliser un service de numéro de port bien connu ou qu’il soit. • La première régle autorise certains hôtes sélectionnés (possiblement tout mon domaine) à communiquer avec un service distant (interne ou externe) de numéro de port bien connu (noté ici service-tcp, par ex 80). ■ Seconde politique : un site externe ne peut commencer une communication avec un serveur interne sur le port bien connu mais il peut continuer une communication qui a été initialisée. • La seconde régle autorise tous les hôtes de l’internet (internes ou externes) qui utilisent le numéro de port bien connu à communiquer à condition que le bit ACK soit positionné = > on autorise en fait les réponses par un serveur à une communication initialisée en interne. TCP, ACK * * Service-TCP * Autoriser TCP Service-TCP * * Mes-hotes Autoriser Complément Port Dest IP Dest Port Source IP Source Règle
  • 30. 30 Conclusion Conclusion Conclusion Conclusion Avantages des filtres de paquets Avantages des filtres de paquets Avantages des filtres de paquets Avantages des filtres de paquets ■Un filtre de paquets peut protéger en un seul dispositif tout un réseau d’entreprise. ■La mise en place du filtre peut être réalisée par l’équipe système indépendamment des usagers qui gèrent les postes clients ou serveurs. ■Les filtres de paquets sont très répandus ■dans tous les routeurs ■sous forme de logiciels filtres logiciels libres ou propriétaires.
  • 31. 31 Conclusion : Inconvénients des Conclusion : Inconvénients des Conclusion : Inconvénients des Conclusion : Inconvénients des filtres de paquets filtres de paquets filtres de paquets filtres de paquets ■ Le filtrage de paquets pose des problèmes de mise en oeuvre. ■ Règles difficiles à définir. ■ Règles difficiles à assembler en une suite cohérente. ■ Fonctionnalités des filtres dont on dispose spécifiques ou incomplètes ou difficiles à comprendre. ■ Certains protocoles applicatifs posent des problèmes pour le filtrage ■ Exemples : utilisation de ports alloués dynamiquement. ■ Les filtres de paquets ne prennent pas en compte les données des applications ■ Exemple: filtrer sur le nom d’un usager dans un accès distant ou dans un transfert de fichier. ■ Nécessité de mettre en œuvre des proxys.
  • 32. 32 Bibliographie : Bibliographie : Bibliographie : Bibliographie : Pare Pare Pare Pare- - - -feux feux feux feux ■D. Brent Chapman, Elisabeth D. Wwicky ‘La sécurité sur I nternet Firewalls’ O’Reilly , 1996. ■William R. Cheswick, Steven M. Bellovin, ‘Firewalls and I nternet security’, Addison Wesley, 1994.