dzdgzdzgddzdz

1. Cybersecurity: Firewalls
Ozalp Babaoglu – Università di
Bologna

2. Overview
• Internet security can be based on:
• - Cryptographic technologies
• - Secure Sockets Layer
• - IPSec
• - Exo-structures: Firewalls, VPNs

3. Firewall
• • Comme le pare-feu d'une voiture :
séparation et protection
• • Sur Internet : contrôle des points
d’entrée/sortie, défense périmétrique

4. Définition technique
• • Combinaison matériel/logiciel
• • Régule le trafic entre un réseau interne et
externe
• • Permet d’être connecté tout en minimisant
les risques

5. Fonctions du Firewall
• Ce qu’il peut faire :
• • Concentrer les décisions de sécurité
• • Appliquer les politiques
• • Journaliser les activités
• Ce qu’il ne peut pas faire :
• • Protéger contre les menaces internes
• • Contourner les connexions directes
• • Arrêter les virus, vers, ou nouvelles menaces

6. Problèmes des Firewalls
• • Interfèrent avec la communication de bout
en bout
• • Donnent une fausse impression de sécurité
totale
• • Peuvent gêner l’expérience utilisateur

7. Technologies de Firewall
• • Packet filtering
• • Stateful packet inspection
• • Application proxy
• • NAT
• • VPNs

8. Packet Filtering
• • Utilise un routeur filtrant
• • Applique des règles sur chaque paquet
entrant/sortant
• • Accepte ou rejette les paquets selon l'en-
tête IP

9. Règles de filtrage
• Basé sur :
• • Adresse IP source/destination
• • Protocole (TCP/UDP/ICMP)
• • Numéros de port
• • Taille du paquet
• • Interface d’entrée/sortie

10. Stateful Packet Inspection
• • Analyse avec mémoire de l'état des
connexions
• • Peut filtrer :
• - Réponses à des paquets précédents
• - Rejets de duplications
• - Fragments

11. Avantages et limites (Filtering)
• ✔ Protège l’ensemble du réseau
• ✔ Efficace, disponible
• ✖ Difficile à configurer
• ✖ Limité à certaines couches
• ✖ Vulnérable aux attaques de la pile TCP/IP

12. Application Proxy Firewall
• • Utilise des programmes spécifiques (HTTP,
FTP...)
• • Fait intermédiaire entre client et serveur
• • Ajoute sécurité + performances (caching)

13. Avantages/limites (Proxy)
• ✔ Authentification utilisateur
• ✔ Filtrage intelligent
• ✔ Logging avancé
• ✖ Serveur spécifique requis
• ✖ Modifications côté client nécessaires

14. Network Address Translation (NAT)
• • Traduit les adresses internes/externes
• • Utilisé pour économiser des adresses IP
• • Implémenté sur les routeurs

15. Adresses privées (RFC 1918)
• • Classe A: 10.0.0.0 – 10.255.255.255
• • Classe B: 172.16.0.0 – 172.31.255.255
• • Classe C: 192.168.0.0 – 192.168.255.255

16. Avantages/inconvénients NAT
• ✔ Contrôle sur le trafic sortant
• ✔ Cache la structure interne
• ✖ Incompatibilités avec certaines méthodes
de chiffrement
• ✖ Pas de services hébergés sans redirection
de port

17. Architectures de Firewalls
• • Host-based / Personal
• • Screening Router
• • Dual-Homed Host
• • Screened Host
• • Screened Subnet

18. Host-based Firewalls
• • Protègent un hôte unique
• • Très personnalisables
• • Utilisés souvent sur les serveurs

19. Personal Firewalls
• • Contrôlent les connexions
entrantes/sortantes d’un PC
• • Protègent les utilisateurs individuels

20. Bastion Host
• • Machine exposée et sécurisée
• • Limite les services disponibles
• • Journalisation extensive
• • Aucune connexion vers l’extérieur permise

21. Screened Subnet (DMZ)
• • Routeur externe : protège la DMZ
• • Routeur interne : filtre les services internes
• • Permet l’accès contrôlé aux serveurs publics