Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux



Documents pareils
2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Sécurité des réseaux Firewalls

Administration réseau Firewall

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Devoir Surveillé de Sécurité des Réseaux

TP4 : Firewall IPTABLES

pare - feu généralités et iptables

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Figure 1a. Réseau intranet avec pare feu et NAT.

Formation Iptables : Correction TP

FILTRAGE de PAQUETS NetFilter

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Le filtrage de niveau IP

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Administration Réseaux

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Sécurité et Firewall

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

LAB : Schéma. Compagnie C / /24 NETASQ

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

avec Netfilter et GNU/Linux

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Sécurisation du réseau

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Pare-feu VPN sans fil N Cisco RV120W

Les firewalls libres : netfilter, IP Filter et Packet Filter

z Fiche d identité produit

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

PACK SKeeper Multi = 1 SKeeper et des SKubes

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Ingénieurs 2000 Informatique et Réseaux 3ème année. Les Firewalls. Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Réseaux

Rappels réseaux TCP/IP

Basculement de connexions Internet

MISE EN PLACE DU FIREWALL SHOREWALL

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

MAUREY SIMON PICARD FABIEN LP SARI

Les systèmes pare-feu (firewall)

Les réseaux /24 et x0.0/29 sont considérés comme publics

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Exemples de commandes avec iptables.

Spécialiste Systèmes et Réseaux

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Sécurité GNU/Linux. Iptables : passerelle

TP réseaux Translation d adresse, firewalls, zonage

Le protocole SSH (Secure Shell)

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Firewall Net Integrator Vue d ensemble

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

acpro SEN TR firewall IPTABLES

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Architectures sécurisées

Critères d évaluation pour les pare-feu nouvelle génération

Introduction. Adresses

Administration de Réseaux d Entreprises

Iptables. Table of Contents

GENERALITES. COURS TCP/IP Niveau 1

Projet Système & Réseau

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Présentation du modèle OSI(Open Systems Interconnection)

Cradlepoint AER 2100 Spécifications

GESLAB_Pre-Requis_v2.0.doc 01/03/2013. Pré-Requis

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

1/ Introduction. 2/ Schéma du réseau

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Formations. «Produits & Applications»

Le rôle Serveur NPS et Protection d accès réseau

TCP/IP, NAT/PAT et Firewall

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Cisco RV220W Network Security Firewall

Contrôle d accès Centralisé Multi-sites

Services Réseaux - Couche Application. TODARO Cédric

La haute disponibilité de la CHAINE DE

Présentation et portée du cours : CCNA Exploration v4.0

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

Sécurité des réseaux Les attaques

Programme formation pfsense Mars 2011 Cript Bretagne

Pare-feu VPN sans fil N Cisco RV110W

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

INTRUSION SUR INTERNET

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Transcription:

Réseaux Evolutions topologiques des réseaux locaux Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs Réseaux locaux virtuels (VLAN) Introduction à la Qos Authentification niveau 2 Moyens de sécurisation Interdire les accès non autorisés Piratage Contrôler l accès aux sites gourmands en bande passante Contrôler les informations non professionnelles Autoriser les accès pour les applications professionnelles Virus Serveurs Internet Non professionnel Firewall Professionnel? Postes Utilisateurs 1

Sécurité en couches (couches TCP/IP) implémentées en plusieurs points du réseau Filtres de paquets entrants (routeur, couche 3) Fonctions SPI et NAT (pare-feu, couche 4) SPI: Stateful packet Inspection 5. Application 4. TCP & UDP (transport) 3. IP (réseau) 2. Liaison de données 1. Physique Filtrage statique / routeur Filtrage effectué sur le niveau réseau adresses IP et numéros de ports TCP ou UDP Travail au niveau de la pile IP du routeur Souvent inadapté pour les protocoles gérant les ports dynamiquement (Peer to Peer, FTP, H323, ) Utilisation d Access-lists: -Couche 3 & 4 du modèle TCP/IP -Examen du contenu des paquets et application de certaines règles Transmission du paquet Suppression du paquet Logs Retour d informations à l émetteur Technologie très répandue au début d internet: c est la première ligne de défense Technique très utilisée mais insuffisante. Access-lists: voir TP Cisco et ASA Différents types d ACLs ACL standards et étendues (CISCO) Adresse source et destination Ports Fonctionnement : inspection de chaque paquet Remarque : traitement de l information rapide Exemple d ACL standard routeur CISCO Autoriser les paquets (permit) Interdire les paquets (deny) access-list 10 permit any 192.168.10.0 access-list 10 permit any 192.168.20.0 access-list 10 deny any 192.168.30.0 ACL étendue (Cisco) access-list numéro-liste-accès {deny permit} protocole \ adresse-source masque-source [opérateur port] \ adresse-destination masque-destination [opérateur port] [log] access-list 101 permit udp any host 192.9.200.1 eq domain 2

Fonctionnement de l inspection de paquets avec suivi de l état de connexion (SPI) (1/2) Statefull Protocol Inspection : la règle dépend des informations contenues dans les entêtes IP, UDP, TCP, ICMP du paquet et des paquets qui sont passés avant. à Il y a donc un suivi des connexions. Inspection d un premier paquet «autorisé» (par le routeur): Une entrée est créée dans une table (nouvelle connexion) Fonctionnement de l inspection de paquets avec suivi de l état de connexion (SPI) (2/2) Examen de l en-tête du paquet Adresses source et destination Type de protocole (TCP, UDP, ICMP ) Ports source et destination Flags (SYN, ACK, FIN, RST ) Comparaison aux règles de contrôle du trafic Exemple: Ne laisser passer que le trafic HTTP Généralement, le pare-feu autorise les connexions vers l'extérieur => entrée dans la table d'état =>les paquets entrants (retours de requêtes) appartenant à ces connexions ne sont pas filtrés TCP SYN TCP SYN + ACK TCP ACK TCP RST UDP requête DNS UDP réponse DNS état du module conntrack : NEW ESTABLISHED TCP ACK ét at ESTABLISHED pour le protocole TCP à partir d ici Ex : Module Netfilter LINUX (Commande iptables) NEW : une nouvelle connexion est établie. ESTABLISHED : la connexion analysée a déjà été établie RELATED : la connexion est en relation avec une autre connexion déjà établie (par exemple, une connexion de donnée de type..). INVALID : le paquet n'appartient à aucune des trois catégories précédentes. 3

Exemple avec les connexions FTP Serveur FTP eth0 eth1 modprobe ip_conntrack_ftp iptables - t filter A FORWARD - o eth0 i eth1 - p tcp \ - - dport ftp - m state - - state NEW,ESTABLISHED - j ACCEPT iptables - t filter A FORWARD - i eth0 o eth1 - p tcp \ - - sport ftp - m state - - state ESTABLISHED - j ACCEPT iptables - t filter A FORWARD - i eth0 o eth1 - p tcp - - sport 20\ - m state - - state ESTABLISHED,RELATED - j ACCEPT iptables - t filter A FORWARD - o eth0 i eth1 - p tcp - - dport 20\ - m state - - state ESTABLISHED - j ACCEPT Règles de filtrage / Pare-feu Règles balayées dans l ordre croissant Nécessité de mettre les règles les plus utilisées au début (performance) Nécessité de mettre les règles les plus restrictives avant les autres (ex.: si une machine à certains droits et le réseau auquel elle appartient ne les a pas) Interdire tout trafic vers le pare-feu Règle implicite interdisant tout trafic ne correspondant pas à une règle explicite Interface graphique pour iptables/netfilter: fwbuilder 4

Pare-feux applicatifs Vérification complète de la validité des informations échangées dans la connexion Ex: protocole HTTP dans connexion port destination 80 Nécessitent beaucoup plus de puissance de calcul Conviennent aux applications qui utilisent l attribution de port dynamiquement Non nécessité de laisser des ports ouverts de manière statique (les ports restent ouverts uniquement le temps de la session) Cas du FTP (connexion DATA) Nombre limité d applications connues sur chaque pare-feu Dépend du constructeur, du modèle, des modules d extensions choisis, etc Exemple: FFS et CABC sur routeurs Cisco FFS: Firewall Feature Set mises en place d Access-lists statiques et dynamiques pour filtrer Module CBAC Ip inspect name nom_protocole Protocoles connus: (telnet, http, https, smtp, tftp, snmp, ftp, H323, RPC, Oracle ODAS, etc) Suivi de l état des sessions Suivi des sessions TCP à demi-ouvertes, ouvertes et fermées pour éviter les attaques SYN Flood Numéros de session et débits de transmission doivent être compris dans des seuils définis par l administrateur Journalisation des sessions Dates et heures Hôtes source et destination Ports Nombre total d octets transmis Pare-feux avec identification Laisse passer le trafic en fonction de l utilisateur, de son ordinateur, des logiciels présents (version d antivirus, etc) Base de comptes locales au pare-feu Pare-feu client LDAP, Radius, Tacacs, Kerberos, etc. Voir TP ASA 5505 pour mise en place de ces techniques Exemple Serveur Radius client Radius Internet Firewall Login + password +Certificat Windows Seven + Mises à jour + Antivirus à jour Serveurs 5

Limitations des pare-feux Ne peuvent empêcher des utilisateurs ou attaquants utilisant des modems d accéder à l intérieur du réseau Ne peuvent empêcher une mauvaise utilisation des mots de passe (non respect de la stratégie de mots de passe par les utilisateurs) Concentration du trafic en un seul point = goulet d étranglement = source de panne fatale Translation d adresse: NAT NAT statique Même adresse IP publique à une adresse IP privée donnée Ex : serveur WEB NAT dynamique Associe à une adresse IP privée une adresse publique aléatoire tirée d'un groupe (pool) PAT (Port Address translation) Associe une seule adresse publique à plusieurs adresses privées en utilisant divers ports Rappel : 65 535 ports TCP sont supportés par adresse IP Filtrage et NAT sur Linux Réseau nat PREROUTING route? filter FORWARD nat POSTROUTING Réseau route? filter INPUT filter OUTPUT nat OUTPUT Processus local 6

Sécurité avec NAT Plus difficile pour un attaquant de : Déterminer la topologie du réseau et le type de connectivité de l'entreprise cible Identifier le nombre de systèmes qui s'exécutent sur le réseau Identifier le type des machines et leurs systèmes d'exploitation Réaliser des attaques de type déni de service (Ex : SYN Flood, scan de ports, injection de paquets) Inconvénients de NAT Connexions UDP mal gérées Estimation du temps où la connexion doit rester ouverte D'autres protocoles sont mal gérés Kerberos, X Windows, rsh (remote shell), SIP (Session Initiation Protocol) Systèmes de chiffrement et d'authentification Ces systèmes sont basés sur l'intégrité des paquets Or NAT modifie ces paquets Journalisation compliquée Mise en corrélation des journaux demande d'intégrer les traductions réalisées par NAT Problème de partage d'adresse avec PAT Authentification auprès d'une ressource extérieure protégée (tous les utilisateurs partageant la même adresse risquent de pouvoir utiliser cette ressource) Pare-feux personnels Peut-être intégré au système (Windows, Mac ) Ex Windows => dans le panneau de configuration 7

Pare-feux personnels Pare-feux personnel Windows XP :netsh firewall set icmpsetting 8 enable Vista, Seven: netsh advfirewall firewall add rule name= ping entrant ok protocol=icmpv4:8,0 dir=in action=allow Pare feu personnel (Seven) 8

Autres caractéristiques des pare-feux Pare-feu tout en un: intègrent les fonctionnalités suivantes: Routeur Commutateur ethernet Point d accès sans fil pare-feu Pare-feu pour bureau de taille moyenne Ex : ASA5505 Cisco, Watchguard séries 5 et 8, F50 Netasq Pare-feu d entreprise Ex : ASA5515, F200 Netasaq Watchguard 1050, 1500, etc Différences entre les gammes de pare-feux Nombre de connexions supportées Capacité CPU, mémoire (RAM ou flash) Souvent modulaires Nombre de DMZ Nombre de tunnels simultanés Bande passante dans tunnels. Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC Du concentrateur à la commutation Hubs et switchs Réseaux locaux virtuels Introduction à la Qos Authentification niveau 2 Zone démilitarisée (DMZ, Demilitarized Zone) Zone du réseau interne isolée (entre la zone publique et la zone privée) Serveur web Serveur de messagerie Serveur FTP Serveur DNS (données publiques, données internes)... Cela permet au trafic venant d internet d aller dans cette zone, mais pas de pénétrer ailleurs sur le réseau interne Possibilité d auditer le trafic échangé avec la DMZ Possibilité de placer un système de détection d intrusion 9

Localisation et fonction d une DMZ Réseau d entreprise interne (privé) 192.168.2.1 public Pare-feu Routeur 209.164.3.1 209.164.3.2 152.77.128.1 Internet 192.168.2.10 Serveur FTP Serveur de messagerie 152.77.128.103 Serveur web Zone démilitarisée (DMZ) Serveur DNS 152.77.128.104 Réseau d entreprise interne (privé) Autre architecture avec DMZ public Pare-feu Pare-feu Routeur Internet Serveur FTP Serveur de messagerie Serveur DNS Serveur web Zone démilitarisée (DMZ) Plan Infrastructures d entreprises Routeurs et Firewall Topologie et DMZ Proxy VPN PPTP IPSEC VPN SSL Du concentrateur à la commutation Hubs et switchs Réseaux locaux virtuels Introduction à la Qos Authentification niveau 2 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back