Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d’un s

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d’un système communicant Fichier : Les défenses matérielles.doc Tale Page:1/11 LES DÉFENSES MATÉRIELLES Objectifs du COURS : Ce cours traitera essentiellement les points suivants : - les firewalls - la traduction d’adresse (DNAT, SNAT) - les DMZ (simple et en « sandwich ») - les proxys - les VPNs - QCM et exercices d’applications Les défenses matérielles interviennent au niveau de l’architecture du réseau, directement sur le support sur lequel est stockée l’information à protéger (protection d’une base de données centralisée sur le disque dur d’un serveur par exemple), sur les médias servant à transporter cette information (sécurisation du réseau sans fil) et sur les équipements intermédiaires traversés lors du transport (utilisation d’un firewall installé sur le routeur d’accès). Par ailleurs, quelques principes de base doivent être respectés pour assurer l’efficacité des défenses : - principe du moindre privilège : chaque élément du système (utilisateur, logiciel) ne doit avoir que le minimum de privilèges nécessaires pour accomplir sa tâche (les utilisateurs ne doivent pas être administrateurs, une session sur un serveur web est ouverte par défaut sur un compte utilisateur …). - défense en profondeur : plusieurs mesures de sécurité valent mieux qu’une (antispam sur les postes de messagerie et sur les postes de travail, firewall sur le routeur d’accès et sur les machines d’extrémité …). - interdiction par défaut : dans la mesure où toutes les menaces ne peuvent être connues à l’avance, il est mieux d’interdire tout ce qui n’est pas explicitement permis que de permettre tout ce qui n’est pas explicitement interdit (sur un firewall, il vaut mieux commencer par fermer tous les ports pour n’ouvrir ensuite que ceux nécessaires). http://robert.cireddu.free.fr/SIN LES DÉFENSES MATÉRIELLES Fichier : Les défenses matérielles.doc Tale Page:2/11 - participation des utilisateurs : un système de protection n’est efficace que si tous les utilisateurs le supportent, un système trop restrictif pousse les utilisateurs à devenir créatifs. - simplicité : la plupart des problèmes de sécurité ont leur origine dans une erreur humaine. Dans un système simple, le risque d’erreur est plus faible et les analyses sont plus rapides. LES FIREWALLS Le firewall ou pare-feu est chargé de filtrer les accès entre l’Internet et le LAN ou entre deux LAN. Rôle et situation du firewall La localisation du firewall (avant ou après le routeur, avant ou après la NAT) est stratégique. Le firewall, qui est souvent un routeur intégrant des fonctionnalités de filtrage, possède autant d’interfaces que de réseaux connectés. Suivant la politique de sécurité, le filtrage est appliqué différemment pour chacune des interfaces d’entrée et de sortie : blocage des adresses IP privées entrantes, autorisation des accès entrants vers le serveur d’identification ou le serveur web institutionnel, blocage des accès entrants vers l’Internet… Les machines d’extrémités possèdent également un firewall mais celui-ci est logiciel (pare-feu Windows ou iptables sous Linux par exemple) et sert à protéger les machines du trafic entrant si le firewall à l’entrée du LAN n’a pas été suffisamment sélectif. Pour chaque trame ou chaque paquet entrant ou sortant sur une interface donnée, les en-têtes correspondant aux différentes couches sont analysés et le filtrage sélectif est appliqué suivant la stratégie de sécurité définie par l’administrateur réseau. Le filtrage peut porter sur : - les adresses MAC source ou destination ; - les adresses IP source ou destination ; - les ports TCP ou UDP source ou destination ; - les flags de l’en-tête TCP (SYN, ACK, …) ; - le type de message ICMP ; - le type de message ou le contenu HTTP, SMTP, POP. Firewall LAN privé LES DÉFENSES MATÉRIELLES Fichier : Les défenses matérielles.doc Tale Page:3/11 Le firewall peut également empêcher les connexions entrantes en analysant la valeur du bit ACK de l’en-tête TCP. Lors d’une demande de connexion, le bit ACK du premier segment TCP est à 0, les bits ACK des segments suivants sont généralement tous à 1. Il suffit donc de bloquer les segments entrants avec le bit ACK à 0, les segments suivants pour cette connexion ne seront pas pris en compte. Blocage des connexions entrantes La configuration d’un firewall passe par l’écriture d’une suite de règles qui décrivent les actions à effectuer (accepter ou refuser le trafic) suivant les informations contenues dans les en-têtes des paquets. Les caractéristiques de chaque paquet sont comparées aux règles, les unes après les autres. La première règle rencontrée qui correspond aux caractéristiques du paquet analysé est appliquée : l’action décrite dans la règle est effectuée. Pour assurer une sécurité maximum, la seule règle présente par défaut doit être celle qui interdit l’accès à tous les paquets entrants et sortants ; d’autres règles seront ensuite insérées pour ouvrir les accès souhaités. La stratégie appliquée est donc « tout ce qui n’est pas explicitement autorisé est interdit ». Le tableau ci-dessous donne un exemple de règles d’un firewall muni de deux interfaces : une vers un LAN privé, une autre vers l’extérieur. Les règles précisent l’interface concernée (la direction du trafic), les adresses IP (une valeur à 0 autorise toutes les adresses), le protocole de niveau 4, les services (valeurs des ports) et éventuellement le blocage des connexions entrantes (test du bit ACK). Règle Destination @ source @ dest. Proto. Port src. Port dst. Action A Sortant 192.168.0.0 0.0.0.0 TCP >1023 80 Autorisé B Entrant 0.0.0.0 192.168.0.0 TCP 80 >1023 Autorisé C Sortant 192.168.0.0 0.0.0.0 TCP >1023 25 Autorisé D Entrant 0.0.0.0 192.168.0.0 TCP 25 >1023 Autorisé E Toutes 0.0.0.0 0.0.0.0 Tous Tous Tous Refusé La stratégie de sécurité est la suivante : - la règle A permet à toutes les machines situées sur le LAN d’adresse 192.168.0.0 d’ouvrir une connexion TCP vers un serveur web (port 80) externe quelconque (adresse 0.0.0.0) ; - la règle B autorise le serveur web consulté à répondre aux machines locales ; Firewall LAN privé SYN=1, ACK=0 SYN=1, ACK=1 SYN=0, ACK=1 LES DÉFENSES MATÉRIELLES Fichier : Les défenses matérielles.doc Tale Page:4/11 - émission (règle C) ou réception (règle D) de courrier SMTP (port 25) avec un serveur externe ; - blocage de tout autre trafic (règle E). Quels que soient l’origine du firewall utilisé et l’OS associé, les règles portent plus ou moins sur les mêmes propriétés des paquets entrants ou sortants. Le degré de filtrage peut cependant varier, certains firewalls permettent un filtrage en travaillant les contenus des messages et peuvent se baser sur les connexions antérieures pour prendre leurs décisions (firewall statefull). Les syntaxes pour décrire les règles sont également très variables suivant les constructeurs ou les OS : utilisation d’ACL (Access Control List) pour les routeurs/firewall Cisco (bien sûr !) ; utilisation du programme iptables pour les firewalls Linux (of course !) ; … LA TRADUCTION D’ADRESSE Remarque : Voir cours sur le mécanisme de la NAT et de la PAT. La traduction d’adresse (NAT / PAT) est aussi un dispositif de sécurité complémentaire au filtrage dans la mesure où elle masque les adresses privées qui ne sont par conséquent plus visibles de l’extérieur. Les firewalls étant généralement intégrés aux routeurs qui possèdent de plus des fonctionnalités de traduction, il est nécessaire pour la compréhension des règles de routage et de filtrage de savoir dans quel ordre sont effectuées ces différentes opérations. Pour un paquet entrant, la traduction concerne l’adresse de destination (celle qui est masquée) ; cette opération est nommée DNAT (Destination NAT). Il est nécessaire que la traduction soit réalisée avant le processus de routage puisque le routeur doit connaître l’adresse interne pour prendre sa décision. Dans l’exemple décrit page suivante, le paquet entrant est destiné au serveur web interne. L’adresse de destination qui est initialement celle du routeur (193.55.45.254), la seule visible de l’extérieur, est traduite vers celle du serveur web (171.16.0.11) grâce à l’indication du numéro de port 80. Le paquet peut ensuite être routé suivant la table et traité par la première règle du firewall, sur l’interface concernée (Eth1). Pour un paquet sortant, la traduction concerne l’adresse source (celle qui doit être masquée) ; cette opération est nommée SNAT (Source NAT). Dans ce cas, le filtrage est d’abord effectué pour savoir si le paquet est autorisé à sortir. La traduction est ensuite réalisée après le processus de routage, en sortie du routeur. Dans l’exemple, le paquet sortant provient du serveur web interne, il est autorisé à sortir par la deuxième règle du filtrage. Après routage, son adresse est traduite vers celle de l’interface de sortie du routeur (Serial1). LES DÉFENSES MATÉRIELLES Fichier : Les défenses matérielles.doc Tale Page:5/11 Règles de filtrage Destination Interface @ source @ dest. Port src. Port dst. Action Entrant Eth1 * 171.16.0.11 * 80 Autorisé Sortant Eth1 171.16.0.11 * 80 * Autorisé Exemple : NAT, routage et firewall LES DMZ Une zone démilitarisée (ou DMZ, DeMilitarized Zone) est une zone de réseau privée ne faisant partie ni du LAN privé ni de l’Internet. À la manière d’une zone franche au-delà de la frontière, la DMZ permet de regrouper des ressources nécessitant un niveau de protection intermédiaire. Comme un réseau privé, elle est isolée uploads/Industriel/ les-defenses-materielles.pdf