Téléverser un fichier

firewall 2011

23
Pare-feu Introduction: Chaque ordinateur connecté à internet est susceptible d'être victime d'une attaque. La méthodologie généralement employée par les pirates consiste à scruter le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d'une machine connectée, puis à chercher une faille de sécurité afin de l'exploiter. Cette menace est d'autant plus grande que la machine est connectée en permanence à internet pour plusieurs raisons : La machine cible est susceptible d'être connectée sans pour autant être surveillée ; La machine cible est généralement connectée avec une plus large bande passante ; La machine cible ne change pas (ou peu) d' adresse IP. Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une connexion de type ADSL, de se protéger des intrusions réseaux en installant un dispositif de protection. 1 S. LAZAAR, ENSA

Upload: rjhdr

Post on 18-Oct-2015

9 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Pare-feu

    Introduction:

    Chaque ordinateur connect internet est susceptible d'tre victime d'une attaque.

    La mthodologie gnralement employe par les pirates consiste scruter le rseau (en envoyant des paquets de donnes de manire alatoire) la recherche d'une machine connecte, puis chercher une faille de scurit afin de l'exploiter.

    Cette menace est d'autant plus grande que la machine est connecte en permanence internet pour plusieurs raisons :

    La machine cible est susceptible d'tre connecte sans pour autant tre surveille ;

    La machine cible est gnralement connecte avec une plus large bande passante ;

    La machine cible ne change pas (ou peu) d'adresse IP.

    Ainsi, il est ncessaire, autant pour les rseaux d'entreprises que pour les internautes possdant une connexion de type ADSL, de se protger des intrusions rseaux en installant un dispositif de protection.

    1S. LAZAAR, ENSA

  • Qu'est-ce qu'un pare-feu?

    Un pare-feu (coupe-feu, garde-barrire ou firewall), est un systme

    permettant de protger un ordinateur des intrusions provenant d'internet.

    Le pare-feu est un systme permettant de filtrer les paquets de donnes

    changs avec le rseau, il s'agit ainsi d'une passerelle filtrante comportant

    au minimum les interfaces rseau suivante :

    une interface pour le rseau protger (rseau interne)

    une interface pour le rseau externe

    2S. LAZAAR, ENSA

  • Le systme firewall est un systme logiciel, reposant parfois sur un matriel rseau ddi, constituant un intermdiaire entre le rseau local (ou la machine locale) et un ou plusieurs rseaux externes.

    Il est possible de mettre un systme pare-feu sur n'importe quelle machine et avec n'importe quel systme pourvu que :

    La machine soit suffisamment puissante pour traiter le traffic ;

    Le systme soit scuris ;

    Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.

    3S. LAZAAR, ENSA

  • De quoi protge un pare-feu?Voici les principaux problmes contre lesquels un pare-feu correctement configur peut vous protger:

    Les chevaux de Troie et autres logiciels espions qui tentent de lire des donnes votre insu sur votre PC, voire de le commander distance.

    L'accs par une "porte drobe":

    de nombreux programmes possdent ce que l'on appelle des "portes drobes" ("backdoor") ouvrant un accs de l'extrieur.

    D'autres prvoient un service de tlmaintenance dont il peut tre fait un usage abusif. Le pare-feu peut y faire obstacle.

    Les bombes e-mail sont des attaques durant lesquelles un utilisateur reoit encore et toujours le mme mail. Le pare-feu peut les contrer.

    Les virus: les pare-feu peuvent aussi contribuer protger un rseau contre les virus. Cela ne dispense pas pour autant l'utilisateur ayant un pare-feu de prendre les mesures de prvention d'usage.

    4S. LAZAAR, ENSA

  • Fonctionnement d'un systme pare-feu

    Un systme pare-feu contient un ensemble de rgles prdfinies permettant:

    D'autoriser la connexion (allow)De bloquer la connexion (deny)

    De rejeter la demande de connexion sans avertir l'metteur (drop).

    L'ensemble de ces rgles permet de mettre en uvre une mthode de filtrage dpendant de la politique de scurit adopte par l'entit.

    On distingue habituellement deux types de politiques de scurit permettant :

    soit d'autoriser uniquement les communications ayant t explicitement autorises :

    "Tout ce qui n'est pas explicitement autoris est interdit".

    soit d'empcher les changes qui ont t explicitement interdits.

    La premire mthode est sans nul doute la plus sre, mais elle impose une dfinition prcise et contraignante des besoins en communication.

    5S. LAZAAR, ENSA

  • Le filtrage simple de paquets

    Un systme pare-feu fonctionne sur le principe du filtrage simple de paquets stateless packet filtering .

    Il analyse les en-ttes de chaque paquet de donnes chang entre une machine du rseau interne et une machine extrieure.

    Ainsi, les paquets de donnes changes entre une machine du rseau extrieur et une machine du rseau interne transitent par le pare-feu et possdent les en-ttes suivants, systmatiquement analyss par le firewall :

    adresse IP de la machine mettrice ; adresse IP de la machine rceptrice ; type de paquet (TCP, UDP) ;

    numro de port (un port est un numro associ un service ou une application rseau).

    Le type de paquet et le numro de port donnent une indication sur le type de service utilis.

    6S. LAZAAR, ENSA

  • 7S. LAZAAR, ENSA

  • ...

    Les ports reconnus (dont le numro est compris entre 0 et 1023) sont associs des services courants.

    (les ports 25 et 110 sont par exemple associs au courrier lectronique, et le port 80 au Web).

    La plupart des dispositifs pare-feu sont au minimum configurs de manire filtrer les communications selon le port utilis.

    Il est gnralement conseill de bloquer tous les ports qui ne sont pas indispensables (selon la politique de scurit retenue).

    Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs pare-feu car il correspond au protocole Telnet

    Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et de voler les ventuels mots de passe circulant en clair.

    8S. LAZAAR, ENSA

  • ...

    9S. LAZAAR, ENSA

  • Le filtrage dynamique Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI.

    La plupart des connexions reposent sur le protocole TCP, qui gre la notion de session, afin d'assurer le bon droulement des changes.

    De nombreux services (le FTP par exemple) initient une connexion sur un port statique, ouvrent dynamiquement (manire alatoire) un port afin d'tablir une session entre la machine faisant office de serveur et la machine cliente.

    Ainsi, il est impossible avec un filtrage simple de paquets de prvoir les ports laisser passer ou interdire.

    Pour y remdier, le systme de filtrage dynamique de paquets est bas sur l'inspection des couches 3 et 4 du modle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur.

    Le terme anglo-saxon est stateful inspection ou stateful packet filtering , filtrage de paquets avec tat .

    10S. LAZAAR, ENSA

  • Plus de prcision:

    Pour le protocole Ftp (et les protocoles fonctionnant de la mme faon), il faut grer l'tat de deux connexions.

    En effet, le protocole Ftp, gre un canal de contrle tabli par le client, et un canal de donnes tabli par le serveur.

    Le Firewall devra donc laisser passer le flux de donnes tabli par le serveur.

    Ce qui implique que le Firewall connaisse le protocole Ftp, et tous les protocoles fonctionnant sur le mme principe.

    Cette technique est connue sous le nom de filtrage dynamique (Stateful Inspection) et a t invente par Checkpoint

    11S. LAZAAR, ENSA

  • ...

    Un dispositif pare-feu de type stateful inspection est capable d'assurer un suivi des changes, i.e de tenir compte de l'tat des anciens paquets pour appliquer les rgles de filtrage.

    De cette manire, partir du moment o une machine autorise initie une connexion une machine situe de l'autre ct du pare-feu, les paquets transitant dans le cadre de cette connexion seront implicitement accepts par le pare-feu.

    Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protge pas pour autant de l'exploitation des failles applicatives, lies aux vulnrabilits des applications.

    Or ces vulnrabilits reprsentent la part la plus importante des risques en terme de scurit.

    12S. LAZAAR, ENSA

  • Le filtrage applicatif

    Le filtrage applicatif permet de filtrer les communications application par application.

    Le filtrage applicatif opre au niveau 7 (couche application) du modle OSI, contrairement au filtrage de paquets simple (niveau 3).

    Le filtrage applicatif suppose une connaissance des protocoles utiliss par chaque application.

    .

    Le filtrage applicatif suppose donc une bonne connaissance des applications prsentes sur le rseau, et notamment de la manire dont elle structure les donnes changes (ports, etc.).

    Un firewall effectuant un filtrage applicatif est appel passerelle applicative (ou

    proxy ), car il sert de relais entre deux rseaux en s'interposant et en effectuant une validation fine du contenu des paquets changs.

    13S. LAZAAR, ENSA

  • PROXY:Le proxy reprsente un intermdiaire entre les machines du rseau interne et le rseau externe, subissant les attaques leur place.

    Le filtrage applicatif permet la destruction des en-ttes prcdant le message applicatif, ce qui permet de fournir un niveau de scurit supplmentaire.

    Il s'agit d'un dispositif performant, assurant une bonne protection du rseau, pour peu qu'il soit correctement administr.

    En contrepartie, une analyse fine des donnes applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des communications, chaque paquet devant tre finement analys.

    Le proxy doit ncessairement tre en mesure d'interprter une vaste gamme de protocoles et de connatre les failles affrentes pour tre efficace.

    14S. LAZAAR, ENSA

  • Plus de prcision:

    Il faut nuancer la supriorit du filtrage applicatif par rapport la

    technologie Stateful:

    En effet les proxys doivent tre paramtrs suffisamment finement pour

    limiter le champ d'action des attaquants,

    ce qui ncessite une trs bonne connaissance des protocoles autoriss

    traverser le firewall.

    Ensuite un proxy est plus susceptible de prsenter une faille de scurit

    permettant un pirate d'en prendre le contrle, et de lui donner un

    accs sans restriction tout le systme d'information.

    Idalement, il faut protger le proxy par un Firewall de type Stateful

    Inspection. Il vaut mieux viter d'installer les deux types de filtrage sur le

    mme Firewall, car la compromission de l'un entrane la compromission

    de l'autre.

    Enfin cette technique permet galement de se protger contre l'ARP

    spoofing.

    15S. LAZAAR, ENSA

  • Attaque ARP SPOOFING

    Une des attaques man in the middle les plus clbres consiste exploiter une faiblesse du protocole ARP (Address Resolution

    Protocol) dont l'objectif est de permettre de retrouver l'adresse IP

    d'une machine connaissant l'adresse physique (adresse MAC) de sa

    carte rseau.

    L'objectif de l'attaque consiste s'interposer entre deux machines du rseau et de transmettre chacune un paquet ARP falsifi indiquant

    que l'adresse ARP (adresse MAC) de l'autre machine a chang,

    l'adresse ARP fournie tant celle de l'attaquant.

    Les deux machines cibles vont ainsi mettre jour leur table dynamique appele Cache ARP. On parle ainsi de ARP cache

    poisoning ( ARP spoofing ou ARP redirect ).

    De cette manire, chaque fois qu'une des deux machines souhaitera communiquer avec la machine distante, les paquets seront

    envoys l'attaquant, qui les transmettra de manire transparente

    la machine destinatrice. 16S. LAZAAR, ENSA

  • Enfin, un tel systme peut potentiellement

    comporter une vulnrabilit dans la

    mesure o il interprte les requtes qui

    transitent par son biais.

    Il est recommand de dissocier le pare-

    feu (dynamique ou non) du proxy, afin de

    limiter les risques de compromission.

    17S. LAZAAR, ENSA

  • Notion de pare-feu personnel

    Dans le cas o la zone protge se limite l'ordinateur sur lequel le firewall est install on parle de firewall personnel(pare-feu personnel).

    Un firewall personnel permet de contrler l'accs au rseau des applications installes sur la machine, et notamment empcher les attaques du type cheval de Troie, i.e des programmes nuisibles ouvrant une brche dans le systme afin de permettre une prise en main distance de la machine par un pirate informatique.

    Le firewall personnel permet de reprer et d'empcher l'ouverture non sollicite de la part d'applications non autorises se connecter.

    18S. LAZAAR, ENSA

  • Les limites des firewalls

    Un systme pare-feu n'offre bien videmment pas une scurit absolue.

    Les firewalls n'offrent une protection que dans la mesure o l'ensemble des communications vers l'extrieur passe systmatiquement par leur intermdiaire et qu'ils sont correctement configurs.

    Ainsi, les accs au rseau extrieur par contournement du firewall sont autant de failles de scurit.

    C'est notamment le cas des connexions effectues partir du rseau interne l'aide d'un modem ou de tout moyen de connexion chappant au contrle du pare-feu.

    19S. LAZAAR, ENSA

  • Les limites des firewallsL'introduction de supports de stockage provenant de l'extrieur sur des machines internes au rseau ou bien d'ordinateurs portables peut porter fortement prjudice la politique de scurit globale.

    Enfin, afin de garantir un niveau de protection maximal, il est ncessaire d'administrer le pare-feu et notamment de surveiller son journal d'activit afin d'tre en mesure de dtecter les tentatives d'intrusion et les anomalies.

    Par ailleurs, il est recommand d'effectuer une veille de scurit (utilisation dalertes de scurit) afin de modifier le paramtrage de son dispositif en fonction de la publication des alertes.

    La mise en place d'un firewall doit donc se faire en accord avec une vritable politique de scurit

    20S. LAZAAR, ENSA

  • Zone dmilitarise

    A l'origine, DMZ dsigne la zone dmilitarise qui spare la Core du Nord de la Core du sud sur 30 km. Elle assure que chacun des deux camps pourra apercevoir une manuvre de l'ennemi de pntration de la zone. C'est ce que l'on nomme un no man's land au Royaume-Uni et un glacis en France.

    En scurit informatique, une zone dmilitarise (DMZ) est un sous-rseau isol par un pare-feu.

    Ce sous-rseau contient des machines se situant entre un rseau interne (LAN) et un rseau externe (Internet).

    La DMZ permet ses machines d'accder Internet et/ou de publier des services sur Internet.

    En cas de compromission d'une machine, l'accs vers le rseau interne sera interdit.

    Elle est utilise dans le cadre d'un routage de type NAT, toutes les connexions non rediriges vers les ports dfinis sont rediriges vers la DMZ.

    21S. LAZAAR, ENSA

  • 22S. LAZAAR, ENSA

  • Les firewalls matriels

    Ils se trouvent souvent sur des routeurs achets dans le commerce par de grands constructeurs comme Cisco ou Nortel.

    Intgrs directement dans la machine, ils font office de boite noire , et ont une intgration parfaite avec le matriel.

    Leur configuration est souvent relativement ardue, mais leur avantage est que leur interaction avec les autres fonctionnalits du routeur est simplifie de

    par leur prsence sur le mme quipement rseau.

    Souvent relativement peu flexibles en terme de configuration, ils sont aussi peu vulnrables aux attaques, car prsent dans la boite noire qu'est le

    routeur.

    De plus, tant souvent trs lis au matriel, l'accs leur code est assez difficile, et le constructeur a eu toute latitude pour produire des systme de

    codes signs afin d'authentifier le logiciel (systme RSA ou assimils). 23S. LAZAAR, ENSA


PFE Creation Firewall

Revision A McAfee Firewall Enterprise, Multi Firewall Edition · • Firewall Enterprise, Multi‑Firewall Edition appliance • Rack mount kit • Firewall software DVD • Activation

Firewall & Virtualisation - tdeig.ch · PDF file4 PFsense : fonctionnalités Firewall. Routeur WAN / LAN. Point d'accés wireless. VPN (Ipsec, OpenVPN, L2TP ou PPTP). Proxy et inverse

Le firewall Technofutur. Table des matières Schémas du réseau Routage sans VPN Routage avec VPN Le NAT Le firewall

Révision A McAfee Firewall Enterprise, Multi Firewall Edition

Firewall IPCop : sécuriser son réseau avec Linux 1/50kinenve19.free.fr/Le_site_de_kinenve_fichier/Documentation/... · Firewall IPCop : sécuriser son réseau avec Linux 9/50 Crédits

Config Firewall Et Proxy

Ch5 Firewall 2014

TP4 - Firewall et Securite d'un reseau d'entreprise - Firewall et Securite d'un reseau d... · TP N°4 : Firewall et sécurité d’un réseau d’entreprise • 1 x câbles de console

Firewall et sécurisation d’un réseau personnel sous ...olivieraj.free.fr/fr/linux/information/firewall/archives/firewall.pdf · en version PDF. sous forme d ... (un né ophyte

Les Firewall Christophe LEITIENNE Mathieu TRUCHET Laurent THEVENARD DESS Réseaux 2000/2001 Rôle du firewall Attaques et outils associés Technologie : les

Web Application Firewall : une nouvelle génération indispensable ?

Mise en place d’un Firewall

TP réseau firewall - Grenoble INP

FIREWALL AMPIGNY Christophe - 10/12/2001. Plan n Définitions n Principes n Techniques n Monter son firewall n Attaques n Produits n Bibliographie

1 ©NBS System Sécurité – Hébergement - Infogérance 1 Sécurité et Firewall Applicatifs 09/05/2011 ©NBS System Sécurité – Hébergement

Cours de sécurité (Security courses) Pare-Feu (FireWall)

SSI firewall et vpncath.milard.free.fr/btssio/polys/diapos-firewall_et_vpn.pdf · 2012-12-12 · Janvier 2007 Firewall et VPN – V.1.1 3 Introduction Les outils de sécurité les

CAHIER DES CHARGES n° 2014/SME/Firewall - bipt.be · IBPT – Cahier des charges n° 2014/SME/Firewall 3 A. DISPOSITIONS GÉNÉRALES 1. Dérogations aux règles générales d’exécution

Firewall: Architecture et déploiement - Publications · Firewall: Architecture et déploiement NetFilter par l'exemple Paternité - Pas d'Utilisation Commerciale - Partage des Conditions

Étude comparative. Plan Présentation PfSense Présentation Firewall Builder Conclusion

FortiGate série 1100E - exclusive-networks.com€¦ · Les FortiGate 1100E offrent des fonctionnalités de firewall nouvelle génération (Next Generation Firewall - NGFW). Ces modèles,

OC VPN Firewall-1

Compte Rendu firewall

NETASQ Firewall UTM Version 8.1

13/12/2002Ciefa Poly-informatique Firewalls. 13/12/2002Ciefa Poly-informatique Plan du cours Présentation générale Firewall avec IPChains Firewall avec

Sécurité et Firewall Applicatifs 09/05/2011

Le WAF : Web Applications Firewall ou pare feu applicatif

LE PARE-FEU ( Firewall en anglais )

Firewall et architectures de sécurité

Configuration d’un Firewall IPCOPszymanskipawel.free.fr/files/TP-IRUP/TPConfiguratioinIP... · 2020. 3. 7. · Configuration d’un Firewall IPCOP 1. Présentation : Voici un petit

Firewall VPN

firewall et sécurité Linux Guide

Projet Firewall Ipcop

Firewall opensource et gestion de configuration pour l'infrastructure