securite du systeme d’information (ssi)
DESCRIPTION
Institut Supérieur de Comptabilité et d’Administration des Entreprises. SECURITE DU SYSTEME D’INFORMATION (SSI). 2010-2011. Chapitre 3. Les solutions de sécurité des réseaux. Introduction. - PowerPoint PPT PresentationTRANSCRIPT
1
SECURITE DU SYSTEME D’INFORMATION (SSI)
Institut Supérieur de Comptabilité
et d’Administration des Entreprises
2010-2011
2
Chapitre 3
Les solutions de sécurité des réseaux
3
Introduction
• Chaque ordinateur connecté à Internet (ou à un réseau) est susceptible d'être victime d'une intrusion (risque : altérer l’intégrité du système et des données.
• Les pirates ayant l'intention de s'introduire dans les systèmes recherchent dans un premier temps des failles (vulnérabilité) dans les protocoles, les systèmes d'exploitations et les applications. Ils scrutent donc le réseau (en envoyant des paquets de manière aléatoire) à la recherche d'une machine connectée, puis cherchent une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.
• Cette menace est d'autant plus grande que la machine cible est :– connectée en permanence à Internet avec une connexion à haut
débit,– connectée sans pour autant être surveillée, – ne change pas (ou peu) d'adresse IP.
=> Ainsi, il est nécessaire, notamment pour les entreprises connectées à internet et les internautes ayant une connexion de type câble ou ADSL, de se protéger des intrusions en installant un système pare-feu.
4
Qu’est ce qu’un Firewall ?
• Un firewall (pare-feu en français), est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7 du modèle OSI.
• Il s'agit donc d'une machine (boitier spécifique de firewall matériel ou d'un ordinateur sécurisé hébergeant une application particulière de pare-feu) comportant au minimum deux interfaces réseau :
– une interface pour le réseau à protéger (réseau interne) – une interface pour le réseau externe
5
Interfaces d’un Firewall
6
Position d’un Fw dans un réseau
7
Zone démilitarisée
• Lorsque certaines machines du réseau interne ont besoin d'être accessible de l'extérieur (comme c'est le cas par exemple pour un serveur web, un serveur de messagerie, un serveur FTP public, ...) il est souvent nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise.
• On parle ainsi de zone démilitarisée (souvent notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public.
8
Firewall : zone démilitarisée
9
Fonctionnement d'un Firewall
• Un FW contient un ensemble de règles prédéfinies permettant :
– Soit d'autoriser uniquement les communications ayant été explicitement autorisées : "Tout ce qui n'est pas explicitement autorisé est interdit".
– Soit d'empêcher les échanges qui ont été explicitement interdits
• Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée par l'entité désirant mettre en oeuvre un filtrage des communications. La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en terme de communication.
10
Le filtrage des paquets :
• Basé sur le principe du filtrage de paquets IP, c'est-à-dire sur l'analyse des en-têtes des paquets IP échangés entre deux machines.
• Les paquets de données contiennent les en-têtes suivants, qui sont analysés par le firewall: – L'adresse IP de la machine émettrice – L'adresse IP de la machine réceptrice – Le type de paquet (TCP, UDP, ...) – Le numéro de port (rappel: un port est un numéro
associé à un service ou une application réseau)
Fonctionnement d'un Firewall
11
Filtrage des paquets :
• Le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.
• filtrage par adresse (adress filtering) : filtrage basé sur les @ IP
• filtrage par protocole (protocol filtering) : utilisé lorsque le type de paquets et le port sont analysés.
• Certains ports sont associés à des service courants et ne sont généralement pas bloqués. :– les ports 25 et 110 sont généralement associés au email, – le port 80 au Web
• Il est recommandé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).
• Le port 23 est critique (correspond au service Telnet). Il permet d'émuler un accès par terminal à une machine du réseau de manière à pouvoir exécuter des commandes saisies au clavier à distance...
Fonctionnement d'un Firewall
12
Filtrage :
• Par numéro IP source• Par numéro IP destination• Par protocole (TCP, UDP, ICMP, IGMP, ARP,...)• Par port ( service) TCP ou UDP source• Par port ( service) TCP ou UDP destination• Par type de message ICMP (echo_request, echo_reply, …)• Par interface (interne, externe,...) en entrée ou en sortie
Fonctionnement d'un Firewall
13
Filtrage des services : Les principaux services à protéger :
le courrier électronique (SMTP tcp/25, POP3 tcp,udp/110), le transfert de fichiers (FTP tcp/21, TFTP udp/69), l’accès par terminal (Telnet tcp/23) et l’exécution de
commandes à distance, les News Usenet (NNTP tcp/119), le World Wide Web (HTTP tcp,udp/80), les autres services d’informations (gopher tcp,udp/70), les informations sur les personnes (finger tcp/79), les services de conférence en temps réel, le service de nom (DNS, tcp,udp/53), les services d’administration réseau (SNMP udp/161,162), les services d’impression (printer tcp/515)
Fonctionnement d'un Firewall
14
Le filtrage dynamique :
• Le filtrage statique ne s'attache qu'à examiner les paquets IP (niveau 3 du modèle OSI). Or, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible de prévoir les ports à laisser passer ou à interdire.
• Pour y remédier, l'entreprise Check point a breveté un système de filtrage dynamique de paquets (stateful inspection) basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur et d'assurer la bonne circulation des données de la session en cours.
• Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de failles applicatives, c'est-à-dire les failles liées aux logiciels, représentant la part la plus importante des risques en terme de sécurité.
Fonctionnement d'un Firewall
15
Fonctionnement d’un Firewall
16
FW : Exemple de règles
17
Les limites des firewalls
• Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue.
• Les firewalls ne protègent que des communications passant à travers eux. Ainsi, les accès au réseau extérieur non réalisés au travers du firewall sont autant de failles de sécurité. – C'est par exemple le cas des connexions effectuées à l'aide d'un
modem. – D'autre part, le fait d'introduire des supports de stockage
provenant de l'extérieur sur des machines internes au réseau peut être fort préjudiciable pour la sécurité de ce dernier.
• La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité.
• D'autre part la mise en place d'un système pare-feu n'exempt pas de se tenir au courant des failles de sécurité et d'essayer de les minimiser...
18
Le firewall n’est qu’un acteur d’une politique de sécurité ; il ne peut à lui seulrésoudre tous les problèmes de sécurité.
L’utilisation d’antivirus, la sensibilisation du personnel, la protection physiquedes machines sont autant de problèmes qu’un firewall ne peut pas résoudre.
19
Exemples de Mise en Place des Règles
de Filtrage
20
En général, on définit une règle de filtrage à partir des données suivantes:
1. Adresse IP source,
2. Adresse IP destination,
3. Type de protocole encapsulé (TCP, UDP, ICMP, IP)
4. Port source (au cas où le protocole est TCP ou UDP)
5. Port destination (au cas où le protocole est TCP ou UDP)
Exemples de règles de filtrage
21
Définir une règle de filtrage = définir les valeurs de tous ces 5 paramètres ou de quelque uns.
A chaque règle de filtrage est associé une action:
• laisse passer le paquet,
• ou le détruire/Refus
Pour chaque service interne et externe:
• il faut mettre en place des règles pour autoriser nos utilisateurs à y accéder
• et des règles pour autoriser des utilisateurs externes à accéder à des serveurs (services) sur notre réseau.
Exemples de règles de filtrage
22
Routeur
Externe
Routeur Interne
InternetInternet
SMTP/25TCP
Web/80TCP
Réseau Périphérique
Réseau Privé
192.168.22.35
Web/80TCP
Exemples de règles de filtrage
192.168.24.0
193.94.60.1
192.168.22.36
192.168.23.0
DMZ
Externe
Interne
23
Autoriser l’extérieur à accéder
au service WWW sur le réseau périphérique
Service WWW entrant
Extérieur DMZ
Client Serveur Web
Firewall
Exemples de règles de filtrage
24
Autoriser les machines du réseau périphérique à accéder
à des services WWW sur l’Internet
Service WWW sortant
DMZIntérieur (LAN)
Client Serveur Web
Firewall
Exemples de règles de filtrage
25
Autoriser l’extérieur à accéder
au service WWW sur le réseau périphérique
Règle Direction
Paquet
Entrant
Direction
Paquet
sortant
IP Source IP Dest Prot Port Sou Port
Dest
Action
1 externe DMZ 193.94.60.1 192.168.22.35 TCP > 1023 80 Permission
2 externe DMZ 193.94.60.1 192.168.22.36 TCP > 1023 25 Permission
3 Interne externe 192.168.23.0 193.94.60.1 Tous Tous Tous Permission
4 Interne DMZ 192.168.24.0 192.168.22.35 TCP > 1023 80 Permission
5 Toutes Toutes Toutes Toutes Tous Tous Tous Refus
Exemples de règles de filtrage-L’ordinateur 193.94.60.1 accède au serveur WEB
-L’ordinateur 193.94.60.1 accède au serveur SMTP
-Les autres utilisateurs n’ont pas l’accès au réseau de l’entreprise
-Les utilisateurs du réseau interne 192.168.23.0 ont l’accès au serveur externe 193.94.60.1
-Les utilisateurs du réseau interne 192.168.24.0 ont l’accès au serveur Web 192.168.22.35