Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 Pare-feux (‘Firewalls’) Gérard Florin - CNAM - - Laboratoire CEDRIC - Cours d

1 Pare-feux (‘Firewalls’) Gérard Florin - CNAM - - Laboratoire CEDRIC - Cours de sécurité 2 Plan pare-feux Introduction Filtrage des paquets et des segments Conclusion Bibliographie 3 Pare-Feux Introduction 4 Pare-feux (‘firewalls’): Architecture de base Architecture de base Architecture de base Architecture de base I 1) Un domaine à protéger : un réseau ‘interne’. I Un réseau d’entreprise/personnel que l’on veut protèger I Vis à vis d’un réseau ‘externe’ d’ou des intrus sont suceptibles de conduire des attaques. I 2) Un pare-feu I Installé en un point de passage obligatoire entre le réseau à protéger (interne) et un réseau non sécuritaire (externe). I C’est un ensemble de différents composants matériels et logiciels qui contrôlent le traffic intérieur/extérieur selon une politique de sécurité. I Le pare-feu comporte assez souvent un seul logiciel, mais on peut avoir aussi un ensemble complexe comportant plusieurs filtres, plusieurs passerelles, plusieurs sous réseaux …. Réseau externe Réseau interne Pare-feu 5 Pare-feux (‘firewalls’): Définitions de base Définitions de base Définitions de base Définitions de base I 1) ‘Firewall’ : en anglais un mur qui empêche la propagation d’un incendie dans un bâtiment => Français ‘mur pare-feu’. I 2) Pare-feu : en informatique une protection d’un réseau contre des attaques. I 3) Technique employée : le contrôle d’accès (le filtrage). I a) Notion de guichet : restriction de passage en un point précis et contrôle des requêtes. I b) Notion d’éloignement : empêcher un attaquant d’entrer dans un réseau protégé ou même de s’approcher de trop prés de machines sensibles. I c) Notion de confinement : empêcher les utilisateurs internes de sortir du domaine protègé sauf par un point précis. I d) Généralement un pare-feu concerne les couches basses Internet (IP/TCP/UDP), mais aussi la couche application (HTTP, FTP, SMTP…. ). I 4) Image militaire la plus voisine de la réalité d’un pare-feu: les défenses d’un chateau-fort (murailles, douves, portes/pont levis, bastion=> confinement, défense en profondeur, filtrage). 6 Pare-feux : le possible et l’impossible le possible et l’impossible le possible et l’impossible le possible et l’impossible I Ce que peut faire un pare-feux : • 1) Etre un guichet de sécurité: un point central de contrôle de sécurité plutôt que de multiples contrôles dans différents logiciels clients ou serveurs. • 2) Appliquer une politique de contrôle d’accès. • 3) Enregistrer le traffic: construire des journaux de sécurité. • 4) Appliquer une défense en profondeur (multiples pare-feux) I Ce que ne peut pas faire un pare-feux : • 1) Protèger contre les utilisateurs internes (selon leurs droits). • 2) Protèger un réseau d’un traffic qui ne passe pas par le pare-feu (exemple de modems additionnels) • 3) Protéger contre les virus. • 4) Protéger contre des menaces imprévues (hors politique). • 5) Etre gratuit et se configurer tout seul. 7 Définir un politique de sécurité 1) Interdire tout par défaut 1) Interdire tout par défaut 1) Interdire tout par défaut 1) Interdire tout par défaut I Présentation générale de cette approche: I Tout ce qui n’est pas explicitement permis est interdit. I Mise en oeuvre : I Analyse des services utilisés par les utilisateurs. I Exemple 1 : Un hôte serveur de courrier doit pouvoir utiliser SMTP. I Exemple 2 : Un hôte devant accèder au Web doit pouvoir utiliser HTTP. I Définition des droits à donner : définition de la politique de sécurité. I Attribution des droits dans un outil appliquant la politique, Suppression de tous les autres droits. I Avantages/inconvénients I Solution la plus sécuritaire et la plus confortable pour l’administrateur de la sécurité. I Solution qui limite considérablement les droits des usagers. I Solution la plus recommandée et la plus souvent utilisée. 8 Politiques de sécurité : 2) Autoriser tout par défaut 2) Autoriser tout par défaut 2) Autoriser tout par défaut 2) Autoriser tout par défaut I Présentation générale de la solution : I On permet tout sauf ce qui est considéré comme dangereux => Tout ce qui n’est pas explicitement interdit est autorisé. I Mise en oeuvre : I On analyse les différents risques des applications qui doivent s’exécuter. => On en déduit les interdictions à appliquer, on autorise tout le reste. I Exemple 1 : Interdire complètement les accès en Telnet depuis l’extérieur ou les autoriser sur une seule machine. I Exemple 2 : Interdire les transferts FTP ou les partages NFS depuis l’intérieur (protection des données). I Avantages/inconvénients I Solution inconfortable pour l’administrateur de la sécurité. I Solution qui facilite l’accès des usagers au réseau. I Solution peu recommandée et peu utilisée. 9 Outils dans les pare-feux : 1) Filtre de paquets et de segments I Concerne le trafic échangé aux niveaux IP (paquets) et TCP/UDP (segments). I Ensemble de règles autorisant ou refusant un transfert combinant la plupart des informations disponibles dans les messages : adresses sources destination, indicateurs …. I En fait : définition d’une politique de sécurité à capacités. I Solution implantée à de nombreux emplacements dans les réseaux: ordinateurs clients ou serveurs, routeurs filtrants (‘screening router’), équipements dédiés. I Avantages : solution peu coûteuse et simple agissant sur tous les types de communications. I Inconvénients : I Des règles de filtrage correctes et bien adaptées aux besoins peuvent être difficiles à établir. I On n’agit qu’aux niveaux 3 et 4. 10 Architecture de pare-feu avec routeur filtrant (‘screening router’) Réseau externe Réseau interne Routeur Flux interdits Flux autorisés Flux interdits Flux autorisé Pare-feu 11 Outils dans les pare-feux : 2) Filtre applicatif (‘proxy’) I Proxy de sécurité : analyse du trafic échangé au niveau application (niveau 7) pour appliquer une politique de sécurité spécifique de chaque application. I Un serveur proxy est nécessaire : pour chaque protocole d’application SMTP, FTP, HTTP, ... I parcequ’il faut interprèter les messages de façon différente pour chaque application. I Contrôle des droits : implique que chaque usager soit authentifié. I Avantage : on peut intervenir de manière fine sur chaque zone des charges utiles transportées au niveau applicatif. I Inconvénient : solution coûteuse car il faut définir des droits complexes. 12 Outils dans les pare-feux : 3) Hôte à double réseau I Terminologie : Hôte à double réseau En anglais ‘Dual homed host’. I Définition : I Un hôte qui possède au moins deux interfaces réseaux (qui interconnecte au moins deux réseaux). I Propriété: I Si un hôte connecte deux sous réseaux, I Et s’il n’est pas configuré en routeur. I => Il est impossible à un paquet de passer d’un réseau à l’autre sans être traité au niveau applicatif. I => C’est un proxy incontournable. 13 Outils dans les pare-feux : 4) Bastion I Définition : I Un hôte exposé au réseau externe (rendu accessible de l’extérieur par la définition de la politique de sécurité). I Il constitue un point de contact entre réseau externe et réseau interne. I Serveur pour un ensemble de services prédéfinis : I Service toile (HTTP), service de noms (DNS), service de messagerie …. I Le bastion peut agir en rendant directement le service concerné. I Le bastion peut agir en relayant les requêtes vers d’autres serveurs après avoir effectué un contôle d’accès applicatif (proxy-serveur). I Le bastion doit être incontournable pour l’ensemble des services prévus. I Le bastion peut servir dans la détection d’intrusion: I Analyse des communications pour détecter des attaques : IDS (‘Intrusion Detection System’). I Fonction pot de miel (Honeypot) : un service semblant attractif pour un attaquant et qui n’est en réalité qu’un piège pour détecter l’attaquant. 14 Architecture de pare-feu avec routeur filtrant et bastion Réseau externe Réseau interne Routeur filtrant Pare-feu Bastion 15 Outils dans les pare-feux : 5) Zone démilitarisée (réseau exposé) I Terminologie : I Réseau exposé, réseau périphérique ( ‘Peripheral Network’) I Zone démilitarizée , DMZ, ‘De Militarized Zone’ I Définition : I Une partie d’un pare-feu qui est un sous-réseau. I Ce sous réseau placé en passerelle entre un réseau à protéger et un réseau externe non protégé. I Propriétés visées : I La zone démilitarizée est plus ouverte sur le réseau externe que le réseau interne. I Elle dessert les systèmes exposés à l’extérieur : principalement les bastions . 16 Architecture de pare-feu avec routeurs, bastions et DMZ Réseau externe Réseau interne Routeur filtrant externe Pare-feu Bastion Routeur filtrant interne Bastion Réseau Exposé (DMZ) 17 En association avec le pare-feu : 6) Traducteur d’adresses NAT I Traduction des adresses IP et TCP : I NAT ‘Network Address Translation’ et PAT ‘Port Address Translation’ => Traduction combinée de port et d'adresse réseau: NAPT ‘Network Address and Port Translation’. I Solution introduite pour économiser des adresses IP V4. I Solution utilisée en sécurité: I NAPT permet de cacher le plan d’adressage interne: les adresses IP et les numéros de port ne sont plus connus à l’extérieur. I NAPT n’autorise pas les connexions initialisées depuis le réseau externe. I Solution différente du filtrage de paquets mais solution complémentaire. 18 Pare-Feux Filtrage des paquets et des segments 19 Rappel: Structure d’un datagramme Structure d’un datagramme Structure d’un datagramme Structure d’un datagramme IP avec un segment TCP IP avec uploads/Ingenierie_Lourd/ cours-de-securite-pare-feux-firewalls.pdf