La sécurité des Réseaux Partie 6.1 Les pare-feus



Documents pareils
Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Sécurité des réseaux Firewalls

Figure 1a. Réseau intranet avec pare feu et NAT.

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Le filtrage de niveau IP

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Sécurité et Firewall

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

MISE EN PLACE DU FIREWALL SHOREWALL

Administration réseau Firewall

Les systèmes pare-feu (firewall)

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

PACK SKeeper Multi = 1 SKeeper et des SKubes

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

acpro SEN TR firewall IPTABLES

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

z Fiche d identité produit

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

TP4 : Firewall IPTABLES

FILTRAGE de PAQUETS NetFilter

Spécialiste Systèmes et Réseaux

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Devoir Surveillé de Sécurité des Réseaux

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

FORMATION CN01a CITRIX NETSCALER

pare - feu généralités et iptables

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Serveur FTP. 20 décembre. Windows Server 2008R2

TCP/IP, NAT/PAT et Firewall

Sécurisation du réseau

A5.2.3, Repérage des compléments de formation ou d'autoformation

GENERALITES. COURS TCP/IP Niveau 1

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Rappels réseaux TCP/IP

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Formation Iptables : Correction TP

LAB : Schéma. Compagnie C / /24 NETASQ

Microsoft Internet Security and Acceleration Déploiement et gestion de Microsoft Internet Security and Acceleration Server 2000

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Sécurité des réseaux Les attaques

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Fiche descriptive de module

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Firewall Net Integrator Vue d ensemble

Aperçu technique Projet «Internet à l école» (SAI)

Basculement de connexions Internet

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

CONFIGURATION FIREWALL

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Linux sécurité des réseaux

Services Réseaux - Couche Application. TODARO Cédric

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

VPN. Réseau privé virtuel Usages :

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

2. DIFFÉRENTS TYPES DE RÉSEAUX

Présentation du ResEl

TAGREROUT Seyf Allah TMRIM

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Projet Sécurité des SI

Cisco Certified Network Associate

Projet Système & Réseau

Critères d évaluation pour les pare-feu nouvelle génération

avec Netfilter et GNU/Linux

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Mettre en place un accès sécurisé à travers Internet

Contrôle d accès Centralisé Multi-sites

Introduction aux Technologies de l Internet

Zemma Mery BTS SIO SISR. Session Projets Personnels Encadrés

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Gamme d appliances de sécurité gérées dans le cloud

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

KX ROUTER M2M SILVER 3G

Groupe Eyrolles, 2006, ISBN : X

SQUID Configuration et administration d un proxy

Présentation et portée du cours : CCNA Exploration v4.0

Transcription:

La sécurité des Réseaux Partie 6.1 Les pare-feus Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic IP, éditions Eyrolles S. Coulondre, cours de sécurité, INSA Lyon, dpt TC Introduction Les pare-feu (firewall) Constituent une barrière entre le réseau et l extérieur Les équipements de sécurité les plus installés Permet de filtrer le trafic passant à travers 1

Introduction Définition «Ensemble de composants applicant une politique de contrôle d accès entre deux réseaux» Fonctions Autoriser ou interdire l ouverture d un service Utiliser un protocole Autoriser ou bannir une adresse IP source/destination Vérifier/inspecter la conformité du trafic «Tout ce qui n est pas explicitement autorisé est interdit» Introduction L exemple du pare-feu personnel: autorise ou interdit à un programme d accepter des connexions de l extérieur autorise ou interdit l utilisation d un protocole donné en entrée ou en sortie ex: Windows XP, Linux (netfilter), Zonealarm Avantages Contrôle des flux sur chaque poste Inconvénients Si OS différents? Souvent pas de centralisation de la confirguration Pop up intempestives mauvaise configuration Que se passe-t-il en dehors des postes? Ne remplacent JAMAIS un parefeu autonome Filtrage de paquets 2

Filtrage de paquets Filtrage statique But : autoriser / interdire le passage d un paquet selon: le port source/destination le protocole (UDP, TCP, ICMP) l adresse source/destination le type du paquet ICMP la taille du paquet interface d entrée / de sortie Filtrage de paquets Filtrage dynamique. En plus: l état des connexions du pare feu (stateful) ce paquet est-il une réponse? ce paquet a-t-il des analogies avec un précédent (taille, source )? modification du paquet à la volée (NAT) redirection transparente du paquet adapter dynamiquement ses règles (blocage du trafic de et vers un site anormal) Filtrage de paquets Décision ACCEPT / DROP / REFUSE Inscription dans les logs Déclencher une alarme 3

Filtrage de paquets Exemples de règles restrictives pour une salle TP étudiante Autoriser en sortie : le port 80 (http) le port 443 (https) le port 21 (ftp) le port 22 (ssh) le port 25 (smtp) le port 110 (pop) le port 53 (dns) Filtrage de paquets Mais exemple plus complexe : Trafic du service comptabilité Trafic du service développement Trafic de la DSI Accès pour le fournisseur X au service Y Accès pour la maintenance de la SSII X Accès du partenaire X au service Y pour une durée d Attention : tout oubli est une porte d accès de l extérieur Filtrage de paquets Avantages Ensemble de règles régissant toute la politique de filtrage de l entreprise Centralisation du contrôle de trafic Traitement rapide (niveau 4) De très nombreux produits 4

Filtrage de paquets Inconvénients Règles par port / par adresses microscopique et non intuitif Règles manuelles complexes à gérer Historique des règles (tel service n a plus besoin de telle règle) Redondance/conflit de certaines règles? Audit périodique nécessaire S arrête au niveau 4 encapsulation possible Accès WIFI accès à Internet via une encapsulation dans les echo request Filtres applicatifs Filtres applicatifs Proxy Introduit un élément intermédiaire obligatoire entre le client et le serveur Proxy applicatifs Niveau 7 du modèle OSI Proxy de type circuit Niveau 5 du modèle OSI 5

Filtres applicatifs Proxy applicatif Analyse de la charge utile du paquet Lenteur d inspection du paquet Décisions propres à l application ftp en download seulement) suppression des javascripts suppression de certains mots sur des pages webs Un proxy par protocole (http, dns, smtp, pop ) Fonctionnement Analyse le paquet et sa charge utile Bascule si besoin est à une inspection classique (SSL) Filtres applicatifs Proxy de type circuit Création d un circuit virtuel client serveur Le client initie une connexion vers le mandataire pour un serveur les anciens centraux téléphoniques Règles autoriser pour une durée donnée enregistrer l utilisateur, la durée de connexion Nécessite l installation d un module sur le client N interprète pas les protocoles applicatifs Même si une connexion est coupée, continue à accepter des paquets Règles de filtrage statiques ex : connexions sur le port 20 possibles sans connexion antérieure sur le port 21 Utile lorsque l implémentation d un proxy applicatif est trop complexe / impossible Filtres applicatifs Un exemple : SOCKS v5 (Linux) Authentification de l utilisateur Support de TCP / UDP / ICMP Source : SOCKS 6

Filtres applicatifs Avantages Inspection plus fine des paquets Cache possible Attaques sur des comportements anormaux éliminées Inconvénients Plus la granularité augmente, plus l inspection est lente NAT NAT Network Address Translation Permet de renuméroter les adresses source ou destination Traduction dynamique ou statique des ports Table de correspondance adresse arrivée/adresse traduite 7

NAT @a : 1000 @c : 1234 @b : 1234 / @c : 80 @a : 1000 / @c :80 @b : 1234 / @c : 80 A @a : 1000 / @c : 80 B C NAT Avantages Renumérotation de réseaux entiers Cache la topologie interne du réseau Accès Internet possible pour les réseaux privés Inconvénients Incompatible avec certains protocoles (H323) Incompatibilité si contrôle d intégrité (IPSEC) Encapsulation des paquets IPSEC dans UDP Modification du paquet lui-même ftp s 8

Routeur filtrant des ACL donnent les règles de filtrage support de beaucoup de constructeurs Utilisation se combine généralement avec d autres produits simple peu coûteux performant fonctionnalités limitées Bastion Une machine en interne joue le pare feu Un routeur filtrant n autorise que le trafic de et vers ce bastion + Du trafic peut passer directement à travers le routeur filtrant (performances) - Vulnérabilité bastion + Vulnérabilité routeur filtrant 9

Double interface en coupure du réseau possède une adresse IP par interface redirection transparente possible + en coupure totale le pare feu est arêté rien ne passe tout est filtré redirection transparente possible vers des mandataires possibilité de cloisonner x réseaux internes si x+1 interfaces - performances requises importantes DMZ (zone démilitarisée) la possibilité d offrir des services sans les placer à l intérieur rappel : corruption d un serveur un pied dans le réseau offre une zone isolée de l intérieur et de l extérieur possibilité de définir de multiples DMZ cloisonnement des zones cloisonnement des flux si une zone tombe, les autres fonctionnent De plus en plus utilisé 10

Exemple avec un bastion Exemple avec une passerelle multi-interfaces Il n existe pas d architecture idéale Il faut l adapter en fonction de la structure organisationnelle de la structure géographique des partenariats de la criticité des applications du budget / du personnel associé à la sécurité 11

Conclusion 12

Conclusion Conclusion témoin de l engouement des pare feu Outil nécéssaire pour le filtrage intérieur/extérieur MAIS pas la solution miracle règles microscopiques attaques internes possibles encapsulation des paquets (filtrage de paquets) autorisation de connexions et non d utilisateurs SPOF + résistance à la charge (liens Gigabits) équilibrage de charge possible déni de service 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back