les firewalls / sécurité informatique

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

info@e-xpertsolutions.com | www.e-xpertsolutions.com

Les Firewalls

Sylvain Marete-Xpert Solutions SA

Solutions à la clef

Les firewalls: définition de base

Outil de contrôle des communications réseaux Agit comme un filtre Contrôle en temps réel les communications

Trois grandes familles Packet Filter (niveau 3) Proxy ou relais applicatifs (niveau 7) Stateful Inspection (niveau 3)

Outil de base de la sécurité… N’est plus suffisant !

Solutions à la clef

Les firewalls

Les services standards du firewall Contrôle d’accès Accounting Authentification Translation d’adresse (NAT)

Les autres services VPN IDS Authentification Contrôle de contenu (AV, filtrage d’URL, Code mobile, etc.) Haute disponibilité Etc.

Solutions à la clef

Exemple d’implémentation

Solutions à la clef

Firewall « packet filter »

Source: Checkpoint 2002

Solutions à la clef

Packet Filter: Screening Routers

1er approche (connexion Internet) Séparation réseau interne de l’internet

Basé sur les routeurs Travail au niveau 3 et 4 (Modèle OSI) Complexe à maintennir

Solutions à la clef

Critère de sélection pour le filtrage

Protocole IP (TCP, UDP, ESP, AH, etc.) IP Destination IP Source Port Destination Port Source Interface

Outside, Inside Sens (inbound, outbound)

Solutions à la clef

Exemple de règles firewall

Solutions à la clef

Exemple de règles firewall

Solutions à la clef

Exemple avec FTP (non PASV)

Data Connection port 1080;20

1

21050;21

3

4

Control Connection port 21;1050

20;1080

192.168.100.100

Any external IP

Solutions à la clef

Exemple !

Action Source Source Port

Dest Dest Port

Allow 192.168.100.100

* * 21

Allow * 20 192.168.100.100

> 1024

Block * * * *

Solutions à la clef

Exemple avec un Cisco: Choke Router

Solutions à la clef

Config Cisco

Solutions à la clef

Firewall « proxy »

Source: Checkpoint 2002

Solutions à la clef

Firewall « Stateful Inspection »

Source: Checkpoint 2002

Solutions à la clef

Exemple de Checkpoint

Application

Presentation

Session

Transport

Data Link (HW IF)

HW Connection

Network

1

2

3

4

5

6

7

FW-1

IP TCP Session Application

PacketMatchesRule?

Log/Alert

Pass thePacket

?

Next Rule

Send NACK

Drop the Packet

Yes

Yes

No

No

No

The Inspection Module is located inside the Operating System Kernel - between the device driver and the IP stack.

Solutions à la clef

Exemple avec FTP: stateful inspection

Source: Checkpoint 2002

Solutions à la clef

Exemple de règles firewall: Checkpoint

Solutions à la clef

Exemple de « log » avec Checkpoint

Solutions à la clef

Translation d’adresses: « NAT »

Mécanisme de modification des adresses IP source ou/et destination

Eventuellement changement des ports: PAT NAT « Static »

1 vers 1 En source ou en destination

NAT « Hide » N vers 1 Utilise de la PAT Utiliser pour cacher un réseau (accès Internet)

Solutions à la clef

Static Source

Solutions à la clef

Stactic Destination

Solutions à la clef

Hide

Solutions à la clef

Authentification

Solutions à la clef

VPN site à site

Solutions à la clef

VPN Remote Users

Solutions à la clef

Firewalls: tendance des Appliances

Concept de « black box » Est considéré comme un élément classique du

réseau Routeur, Switchs, RAS, etc.

Facilité d’exploitation Facilité d’utilisation Niveau de sécurité élevé Gestion par SSL et/ou SSH Performance OS de type Unix / Linux

Solutions à la clef

Case Studie

Entreprise connexion sur Internet Mail server DNS Web Server Surfing HTTP

Proxy Contrôle de Virus VPN Remote Users