firewall (pare feu)
TRANSCRIPT
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 1/20
Firewall (pare-feu)
Réalisée par :
chaimae essaidi
Meryem el mariyaMohamed tahir
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 2/20
présentation
• Chaque ordinateur connecté à internet ou àn'importe quel réseau informatique estsusceptible d'être victime d'une attaque d'unpirate informatique. La méthodologie
généralement employée par le pirateinformatique
Ainsi, il est nécessaire, autant pour les réseaux
d'entreprises que pour les internautespossédant une connexion de type câble ouADSL, de se protéger des intrusions réseaux eninstallant un dispositif de protection.
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 3/20
Qu'est-ce qu'un pare-feu?
• Qu'est-ce qu'un pare-feu?
• Un pare-feu est un système permettant de protéger un ordinateur ou un réseaud'ordinateurs des intrusions provenant d'un réseau tiers (notamment internet).Le pare-feu est un système permettant de filtrer les paquets de donnéeséchangés avec le réseau, il s'agit ainsi d'une passerelle filtrante comportant au
minimum les interfaces réseau suivante : une interface pour le• réseau à protéger (réseau interne) ;
• une interface pour le réseau externe.
Le système firewall est un système logiciel, reposant parfois sur un matérielréseau dédié, constituant un intermédiaire entre le réseau local (ou la machinelocale) et un ou plusieurs réseaux externes. Il est possible de mettre un système
pare-feu sur n'importe quelle machine et avec n'importe quel système pourvuque :
• La machine soit suffisamment puissante pour traiter le traffic ;
• Le système soit sécurisé ;
• Aucun autre service que le service de filtrage de paquets ne fonctionne sur leserveur.
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 4/20
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 5/20
Fonctionnement d'un système pare-
feu
Un système pare-feu contient un ensemble de règles prédéfinies
permettant : D'autoriser la connexion (allow ) ;
• De bloquer la connexion (deny ) ;
• De rejeter la demande de connexion sans avertir l'émetteur
(drop).
L'ensemble de ces règles permet de mettre en oeuvre uneméthode de filtrage dépendant de la politique de sécuritéadoptée par l'entité. On distingue habituellement deux types depolitiques de sécurité permettant : soit d'autoriser uniquement
les communications ayant été explicitement autorisées :• soit d'empêcher les échanges qui ont été explicitement interdits.
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 6/20
Le filtrage simple de paquets
Un système pare-feu fonctionne sur le principe du f iltrage simple de paquets , Ilanalyse les en-têtes de chaque paquet de données échangé entre une machinedu réseau interne et une machine extérieure.
Ainsi, les paquets de données échangée entre une machine du réseau extérieuret une machine du réseau interne transitent par le pare-feu et possèdent les en-
têtes suivants, systématiquement analysés par le firewall :adresse IP de la machine émettrice ;
• adresse IP de la machine réceptrice ;
• type de paquet (TCP, UDP, etc.) ;
• numéro de port (rappel: un port est un numéro associé à un service ou uneapplication réseau).
•
Les adresses IP contenues dans les paquets permettent d'identifier la machineémettrice et la machine cible, tandis que le type de paquet et le numéro de portdonnent une indication sur le type de service utilisé.
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 7/20
Le tableau ci-dessous donne des exemples de
règles de pare-feu :
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 8/20
• Les ports reconnus (est compris entre 0 et 1023) sont associés à desservices courants (les ports 25 et 110 sont par exemple associés aucourrier électronique, et le port 80 au Web). La plupart desdispositifs pare-feu sont au minimum configurés de manière à filtrerles communications selon le port utilisé. Il est généralement
conseillé de bloquer tous les ports qui ne sont pas indispensables(selon la politique de sécurité retenue).
Le port 23 est par exemple souvent bloqué par déf aut par lesdispositifs pare-feu car il correspond au protocole Telnet,permettant d'émuler un accès par terminal à une machine distante
de manière à pouvoir exécuter des commandes à distance. Lesdonnées échangées par Telnet ne sont pas chiffrées, ce qui signifiequ'un individu est susceptible d'écouter le réseau et de voler leséventuels mots de passe circulant en clair. Les administrateurs luipréfèrent généralement le protocole SSH, réputé sûr et fournissantles mêmes fonctionnalités que Telnet.
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 9/20
Le filtrage dynamique
• Le filtrage dynamique fonctionne comme lefiltrage statique au niveau de la couche réseau,mais la différence du filtrage dynamique est qu’il
implémente des tables d'état pour chaqueconnexion établie (State table).
• L'amélioration par rapport au filtrage simple, estla conservation de la trace des sessions et des
connexions dans des tables d'états internes auFirewall. Le Firewall prend alors ses décisions enfonction des états de connexions.
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 10/20
– Pour TCP, enregistre 2 adresses IP et 2 numéros de port
dans la table de connexion comme étant « état ouvert »
– Par défaut, on permet les connexions de l’intérieur (plus
sécuritaires) vers l’extérieur (moins sécuritaires).
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 11/20
ServeurWeb
123.80.5.34
Client60.55.33.12
1.TCP SYN
DE: 60.55.33.12:62600À: 123.80.5.34:80
2.Connexionouverte 3.
TCP SYNDE: 60.55.33.12:62600
À: 123.80.5.34:80
“Stateful
Firewall”
Type
TCP
IPInterne
60.55.33.12
PortInterne
62600
IPExterne
123.80.5.34
PortExterne
80
État
OK
Table de connexion
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 12/20
ServeurWeb
123.80.5.34
Client
60.55.33.12
6.TCP SYN/ACK
DE: 123.80.5.34:80À: 60.55.33.12:62600
5.Vérification de la connexion
OK
4.TCP SYN/ACK
DE: 123.80.5.34:80À: 60.55.33.12:62600
“Statefu
l
Firewall
”
Type
TCP
IPInterne
60.55.33.12
PortInterne
62600
IPExterne
123.80.5.34
PortExterne
80
État
OK
Table de connexion
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 13/20
• “ Stateful Firewall Operation”
– Pour UDP, enregistre aussi 2 adresses IP et les numéros
de port dans la table de connexion
Type
TCP
UDP
IPInterne
60.55.33.12
60.55.33.12
PortInterne
62600
63206
IPExterne
123.80.5.34
1.8.33.4
PortExterne
80
69
État
OK
OK
Table de connexion
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 14/20
Attaquant10.5.3.4
Client
60.55.33.12
“Stateful
Firewall”
2.
Vérification dansla table de connexion:
Pas de connexion,on rejète le paquet
1.
TCP SYN/ACKDE: 10.5.3.4.:80À: 60.55.33.12:64640
Type
TCP
UDP
IPInterne
60.55.33.12
60.55.33.12
PortInterne
62600
63206
IPExterne
123.80.5.34
222.8.33.4
PortExterne
80
69
État
OK
OK
Table de connexion
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 15/20
• Le filtrage applicatif est comme son nom l'indiqueréalisé au niveau de la couche Application. Pourcela, il faut bien sûr pouvoir extraire les donnéesdu protocole de niveau 7 pour les étudier. Les
requêtes sont traitées par des processus dédiés,par exemple une requête de type Http sera filtréepar un processus proxy Http. Le pare-feu rejetteratoutes les requêtes qui ne sont pas conformes
aux spécifications du protocole. Cela impliqueque le pare-feu proxy connaisse toutes les règlesprotocolaires des protocoles qu'il doit filtrer.
Le filtrage applicatif: principe
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 16/20
DMZ (Zone démilitarisée)
• Lorsque certaines machines du réseau interne ontbesoin d'être accessibles de l'extérieur (serveur web,un serveur de messagerie, un serveur FTP public, etc.),il est souvent nécessaire de créer une nouvelle
interface vers un réseau à part, accessible aussi bien duréseau interne que de l'extérieur, sans pour autantrisquer de compromettre la sécurité de l'entreprise. Onparle ainsi de « zone démilitarisé » (notée DMZ pourDeMilitarized Zone) pour désigner cette zone isolée
hébergeant des applications mises à disposition dupublic. La DMZ fait ainsi office de « zone tampon »entre le réseau à protéger et le réseau hostile.
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 17/20
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 18/20
La politique de sécurité mise en oeuvre sur laDMZ est généralement la suivante :
•
Traffic du réseau externe vers la DMZ autorisé ;• Traffic du réseau externe vers le réseau interne
interdit ;
• Traffic du réseau interne vers la DMZ autorisé ;
• Traffic du réseau interne vers le réseau externeautorisé ;
• Traffic de la DMZ vers le réseau interne
interdit ;
• Traffic de la DMZ vers le réseau externe refusé.
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 19/20
Présentation de la gamme ASA
Le matériel Cisco ASA de la série 5500 ( Adaptive
Security Appliances) est un système de sécurité
s'appuyant sur une plate-forme modulaire.
• Les ASA peuvent être employés dans différentscadres suivant la gamme que l'on choisit. Les
plus petits modèles seront plutôt dédiés à un
usage à domicile ou dans les petites entreprises,alors que les gros modèles seront orientés pour les
grosses
7/27/2019 Firewall (Pare Feu)
http://slidepdf.com/reader/full/firewall-pare-feu 20/20
ASDM
Côté administration, nous avons réalisé la
configuration de l’ASA en ligne de commande
(plus facile de notre point de vue)
• il est cependant tout à fait possible de
l’effectuer via l’interface graphique nommée
ASDM (Cisco Adaptive Security Device
Manager )