Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Composants et Architectures de Sécurité des Réseaux 1 Par : Ali GHORBEL Ali.gho

Composants et Architectures de Sécurité des Réseaux 1 Par : Ali GHORBEL Ali.ghorbel@esprit.tn CHAPITRE 3 Plan Introduction Défense en profondeur Les menaces réseaux Firewall/Pare-feu ●Fonctionnement d'un firewall ●Architecture et déploiement d'un firewall ●Architecture et déploiement d'un firewall ●La zone DMZ ●Types de firewall Systèmes de Détection et de Prévention d'Intrusions ●Fonctionnement ●Techniques de détection ●Types d'IDS et d'IPS Introduction La sécurité du réseau se réfère à toutes les activités visant à protéger le réseau de l'entreprise. Les activités et composants de sécurité réseaux visent àprotéger: La mise en place d'une politique de sécurité réseau efficace vise à protéger contre une variété de menaces et empêche toute pénétration ou propagation sur un réseau. Usability Fiability Integrity Network and data security Les défenses matérielles Les défenses matérielles interviennent au niveau de l’architecture du réseau, directement sur le support sur lequel est stockée l’information à protéger (protection d’une base de données centralisée sur le disque dur d’un serveur par exemple), sur les médias servant à transporter cette information (sécurisation du réseau sans fil) et sur les équipements intermédiaires traversés lors du transport (utilisation d’un firewall installé sur le routeur d’accès). sur le routeur d’accès). Par ailleurs, quelques principes de base doivent être respectés pour assurer l’efficacité des défenses : • principe du moindre privilège : chaque élément du système (utilisateur, logiciel) ne doit avoir que le minimum de privilèges nécessaires pour accomplir sa tâche (les utilisateurs ne doivent pas être administrateurs, une session sur un serveur web est ouverte par défaut sur un compte utilisateur …). Les défenses matérielles • interdiction par défaut : dans la mesure où toutes les menaces ne peuvent être connues à l’avance, il est mieux d’interdire tout ce qui n’est pas explicitement permis que de permettre tout ce qui n’est pas explicitement interdit (sur un firewall, il vaut mieux commencer par fermer tous les ports pour n’ouvrir ensuite que ceux qui sont nécessaires). • participation des utilisateurs : un système de protection n’est efficace • participation des utilisateurs : un système de protection n’est efficace que si tous les utilisateurs le supportent, un système trop restrictif pousse les utilisateurs à devenir créatifs. • simplicité : la plupart des problèmes de sécurité ont leur origine dans une erreur humaine. Dans un système simple, le risque d’erreur est plus faible et les analyses sont plus rapides. Défense en profondeur Mise en place de plusieurs couches de sécurité. Si l'une des couches est compromise ou PotentialAttack Host-based Firewall IDS Physical security Policies and procedures Router/Firewall/VPN Network-based Firewall VPN Router DMZ DNS @ Security architecture Internal Firewall IDS Network IDS WWW IPS Network IPS WWW Plusieurs mesures de sécurité valent mieux qu’une (anti-spam sur les postes de messagerie et sur les postes de travail, firewall sur le routeur d’accès et sur les machines d’extrémité …). défaillante les autres sont encore debout. Internal devices IDS Host-based IDS Host-based Antivirus IDS Account Management Les menaces réseaux Bcp de menaces de sécurité réseau sont aujourd'hui réparties sur l'Internet. • Advanced Evasion Techniques (AET) • Attaques zero-day • Techniques (AET) • Advanced Persistant Threat (APT) • Virus, vers et chevaux de Troie • Spyware et adware • Attaques de pirates • Attaques par déni de service DoS • Interception de données et le vol d'identité 4 Composants de sécurité réseau • Un système de sécurité réseau est constitué de plusieurs composants: Pare-feu/Firewall Système de détection d'intrusions (IDS) Système de prévention d'intrusions (IPS) Système de prévention d'intrusions (IPS) Antivirus et antispyware Virtual Private Network (VPN) • Tous les composants travaillent ensemble, ce qui minimise la maintenance et améliore la sécurité. Les Firewalls Les Firewalls Un pare-feu/Firewall est un dispositif utilisé pour appliquer des politiques de sécurité (contrôle les flux du trafic réseau) au sein d'un réseau ou entre plusieurs réseaux. Firewall 9 Il peut être logiciel ou matériel dédié permettant d'examiner tous les messages en entrée ou sortie du réseau local et de bloquer tous ceux qui ne remplissent pas les critères de sécurité spécifié. De nos jours, toutes les entreprises possédant un réseau local possèdent aussi un accès à Internet, afin d’accéder à la manne d’information disponible sur le réseau des réseaux, et de pouvoir communiquer avec l’extérieur. Cette ouverture vers l’extérieur est indispensable et dangereuse en même temps. Ouvrir l’entreprise vers le monde signifie aussi laisser place ouverte aux Pourquoi un firewall? 9 Ouvrir l’entreprise vers le monde signifie aussi laisser place ouverte aux étrangers pour essayer de pénétrer le réseau local de l’entreprise, et y accomplir des actions douteuses, parfois gratuites, de destruction, vol d’informations confidentielles, … Les mobiles sont nombreux et dangereux. Pour parer à ces attaques, une architecture sécurisée est nécessaire. Pour cela, le cœur d’une telle architecture est basé sur un firewall. Cet outil a pour but de sécuriser au maximum le réseau local de l’entreprise, de détecter les tentatives d’intrusion et d’y parer au mieux possible. Cela représente une sécurité supplémentaire rendant le réseau ouvert sur Internet beaucoup plus sûr. De plus, il peut permettre de restreindre l’accès interne vers l’extérieur. En effet, des employés peuvent s’adonner à des activités que l’entreprise ne cautionne pas, le meilleur exemple étant le jeu en ligne. Pourquoi un firewall? 9 cautionne pas, le meilleur exemple étant le jeu en ligne. En plaçant un firewall limitant ou interdisant l’accès à ces services, l’entreprise peut donc avoir un contrôle sur les activités se déroulant dans son enceinte. Le firewall propose donc un véritable contrôle sur le trafic réseau de l’entreprise. Il permet d’analyser, de sécuriser et de gérer le trafic réseau, et ainsi d’utiliser le réseau de la façon pour laquelle il a été prévu et sans l’encombrer avec des activités inutiles, et d’empêcher une personne sans autorisation d’accéder à ce réseau de données. Firewall Un pare-feu/firewall est utilisé pour restreindre l'accès à un réseau à partir d'un autre réseau. Un firewall comporte au minimum deux interfaces réseau. Une interface pour le réseau à protéger Une interface pour le réseau externe ou Firewall Internet Une interface pour le réseau à protéger (réseau interne ou LAN) Une interface pour le réseau externe ou Internet Local Area Network Firewall Ce que fait un Firewall ?  Prévenir des scans réseau  Contrôle du trafic  Authentification des utilisateurs  Authentification des utilisateurs  Filtrage des paquets, services et protocoles  Journalisation Translation d’adresse réseau Ne prévient pas des backdoors Ne protège pas des menaces internes N’est pas une alternative aux antivirus et antimalwares Ne prévient pas contre les attaques de social engineering Ce que ne fait pas un Firewall ? Ne prévient pas contre les attaques de social engineering Ne prévient pas contre la mauvaise utilisations des mots de passe Types de firewalls Appliance Logiciel Types de firewalls Types de firewalls Types de firewalls Un firewall logiciel peut être installé sur n'importe quelle machine et avec n'importe quel système d'exploitation pourvu que: La machine soit suffisamment puissante pour traiter le trafic réseaux la traversant. Aucun autre service que celui du firewall ne fonctionne sur le serveur. Firewall Aucun autre service que celui du firewall ne fonctionne sur le serveur. Le système soit sécurisé. Les firewalls peuvent filtrer les messages en se basant sur: Le type du trafic (protocole) Les adresses source et destination les numéros de ports. Fonctionnement d'un Firewall Un système Firewall contient un ensemble de règles prédéfinies permettant :  D’autoriser la connexion (allow)  De bloquer la connexion (deny)  De rejeter la demande de connexion sans avertir l’émetteur (drop) L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant de la politique de sécurité adoptée par l’entité. On filtrage dépendant de la politique de sécurité adoptée par l’entité. On distingue habituellement deux types de politiques de sécurité permettant :  Soit d’autoriser uniquement les communications ayant été explicitement autorisées: «Tout ce qui n’est pas explicitement autorisé est interdit»  Soit d’empêcher les échanges qui ont été explicitement interdits. La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication. Architecture de Firewall (1/3) • Bastion host est une machine conçue et configurée pour protéger les ressources réseaux des attaques externes. • Cette machine fournit un point d'entrée et de sortie unique vers Internet ou réseau externe. • Elle comporte deux interfaces: • Elle comporte deux interfaces: Interface publique connecté directement vers l'Internet. Interface privée connecte vers le réseau local. Bastion Host Internet Firewall Intranet • Screened subnet firewall permet aux entreprises d'offrir des services en toute sécurité pour les utilisateurs d'Internet. • Tous les serveurs hébergeant des services publics (accessibles à partir de l'Internet) sont placés dans la zone démilitarisée (DMZ). La zone DMZ est séparée de l'Internet et du réseau Intranet par le firewall. Les services de la zone DMZ répondent aux requêtes du réseau public. Architecture de Firewall (2/3) Le réseau interne (Intranet) n'est pas accessible à partir du réseau externe (Internet). 12 Internet Firewall Intranet DMZ • Multi-homed firewall réfère à une architecture de deux réseaux ou plus. • Multi-homed firewall est équipé de uploads/Ingenierie_Lourd/ chapitre3-firewalls-ids-ips.pdf