Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Oussama SAOUDI, Eng M.eng (ECP 2001) 1 Pare-feux Cours de sécurité 1 Pare-feux

Oussama SAOUDI, Eng M.eng (ECP 2001) 1 Pare-feux Cours de sécurité 1 Pare-feux (‘Firewalls’) Gérard Florin - CNAM - - Laboratoire CEDRIC - Plan pare-feux • Introduction • Filtrage des paquets et des segments Conclusion • Bibliographie 2 • Bibliographie Pare-Feux Introduction 3 Introduction Pare-feux (‘firewalls’): Architecture de base Pare-feu Réseau externe Réseau interne 4 Pare-feu ■1) Un domaine à protéger : un réseau ‘interne’. ■Un réseau d’entreprise/personnel que l’on veut protèger ■Vis à vis d’un réseau ‘externe’ d’ou des intrus sont suceptibles de conduire des attaques. ■2) Un pare-feu ■Installé en un point de passage obligatoire entre le réseau à protéger (interne) et un réseau non sécuritaire (externe). ■C’est un ensemble de différents composants matériels et logiciels qui contrôlent le traffic intérieur/extérieur selon une politique de sécurité. ■Le pare-feu comporte assez souvent un seul logiciel, mais on peut avoir aussi un ensemble complexe comportant plusieurs filtres, plusieurs passerelles, plusieurs sous réseaux …. ■1) ‘Firewall’ : en anglais un mur qui empêche la propagation d’un incendie dans un bâtiment => Français ‘mur pare-feu’. ■2) Pare-feu : en informatique une protection d’un réseau contre des attaques. ■3) Technique employée : le contrôle d’accès (le filtrage). ■a) Notion de guichet : restriction de passage en un point précis et Pare-feux (‘firewalls’): Définitions de base ■a) Notion de guichet : restriction de passage en un point précis et contrôle des requêtes. ■b) Notion d’éloignement : empêcher un attaquant d’entrer dans un réseau protégé ou même de s’approcher de trop prés de machines sensibles. ■c) Notion de confinement : empêcher les utilisateurs internes de sortir du domaine protègé sauf par un point précis. ■d) Généralement un pare-feu concerne les couches basses Internet (IP/TCP/UDP), mais aussi la couche application (HTTP , FTP, SMTP…. ). ■4) Image militaire la plus voisine de la réalité d’un pare-feu: les défenses d’un chateau-fort (murailles, douves, portes/pont levis, bastion=> confinement, défense en profondeur, filtrag 5e). Pare-feux : le possible et l’impossible ■Ce que peut faire un pare-feux : • 1) Etre un guichet de sécurité: un point central de contrôle de sécurité plutôt que de multiples contrôles dans différents logiciels clients ou serveurs. • 2) Appliquer une politique de contrôle d’accès. 6 • 3) Enregistrer le traffic: construire des journaux de sécurité. • 4) Appliquer une défense en profondeur (multiples pare-feux) ■Ce que ne peut pas faire un pare-feux : • 1) Protèger contre les utilisateurs internes (selon leurs droits). • 2) Protèger un réseau d’un traffic qui ne passe pas par le pare-feu (exemple de modems additionnels) • 3) Protéger contre les virus. • 4) Protéger contre des menaces imprévues (hors politique). • 5) Etre gratuit et se configurer tout seul. Définir un politique de sécurité 1) Interdire tout par défaut ■Présentation générale de cette approche: ■Tout ce qui n’est pas explicitement permis est interdit. ■Mise en oeuvre : ■Analyse des services utilisés par les utilisateurs. ■Exemple 1 : Un hôte serveur de courrier doit pouvoir utiliser SMTP. ■Exemple 2 : Un hôte devant accèder au Web doit pouvoir utiliser HTTP. 7 ■Exemple 2 : Un hôte devant accèder au Web doit pouvoir utiliser HTTP. ■Définition des droits à donner : définition de la politique de sécurité. ■Attribution des droits dans un outil appliquant la politique, Suppression de tous les autres droits. ■Avantages/inconvénients ■Solution la plus sécuritaire et la plus confortable pour l’administrateur de la sécurité. ■Solution qui limite considérablement les droits des usagers. ■Solution la plus recommandée et la plus souvent utilisée. ■Présentation générale de la solution : ■On permet tout sauf ce qui est considéré comme dangereux => Tout ce qui n’est pas explicitement interdit est autorisé. ■Mise en oeuvre : ■On analyse les différents risques des applications qui doivent s’exécuter. => On en déduit les interdictions à appliquer, on autorise tout le reste. Politiques de sécurité : 2) Autoriser tout par défaut => On en déduit les interdictions à appliquer, on autorise tout le reste. ■Exemple 1 : Interdire complètement les accès en Telnet depuis l’extérieur ou les autoriser sur une seule machine. ■Exemple 2 : Interdire les transferts FTP ou les partages NFS depuis l’intérieur (protection des données). ■Avantages/inconvénients ■Solution inconfortable pour l’administrateur de la sécurité. ■Solution qui facilite l’accès des usagers au réseau. ■Solution peu recommandée et peu utilisée. 8 ■Concerne le trafic échangé aux niveaux IP (paquets) et TCP/UDP (segments). ■Ensemble de règles autorisant ou refusant un transfert combinant la plupart des informations disponibles dans les messages : adresses sources destination, indicateurs …. ■En fait : définition d’une politique de sécurité à capacités. Outils dans les pare-feux : 1) Filtre de paquets et de segments ■En fait : définition d’une politique de sécurité à capacités. ■Solution implantée à de nombreux emplacements dans les réseaux: ordinateurs clients ou serveurs, routeurs filtrants (‘screening router’), équipements dédiés. ■Avantages : solution peu coûteuse et simple agissant sur tous les types de communications. ■Inconvénients : ■Des règles de filtrage correctes et bien adaptées aux besoins peuvent être difficiles à établir. ■On n’agit qu’aux niveaux 3 et 4. 9 Architecture de pare-feu avec routeur filtrant (‘screening router’) Flux interdits Flux autorisés 10 Réseau externe Réseau interne Routeur Flux interdits Flux autorisé Pare-feu ■Proxy de sécurité : analyse du trafic échangé au niveau application (niveau 7) pour appliquer une politique de sécurité spécifique de chaque application. ■Un serveur proxy est nécessaire : pour chaque protocole d’application SMTP, FTP, HTTP, ... Outils dans les pare-feux : 2) Filtre applicatif (‘proxy’) d’application SMTP, FTP, HTTP, ... ■parcequ’il faut interprèter les messages de façon différente pour chaque application. ■Contrôle des droits : implique que chaque usager soit authentifié. ■Avantage : on peut intervenir de manière fine sur chaque zone des charges utiles transportées au niveau applicatif. ■Inconvénient : solution coûteuse car il faut définir des droits complexes. 11 ■Terminologie : Hôte à double réseau En anglais ‘Dual homed host’. ■Définition : ■Un hôte qui possède au moins deux interfaces réseaux (qui interconnecte au moins deux réseaux). Outils dans les pare-feux : 3) Hôte à double réseau Un hôte qui possède au moins deux interfaces réseaux (qui interconnecte au moins deux réseaux). ■Propriété: ■Si un hôte connecte deux sous réseaux, ■Et s’il n’est pas configuré en routeur. ■=> Il est impossible à un paquet de passer d’un réseau à l’autre sans être traité au niveau applicatif. ■=> C’est un proxy incontournable. 12 ■Définition : ■Un hôte exposé au réseau externe (rendu accessible de l’extérieur par la définition de la politique de sécurité). ■Il constitue un point de contact entre réseau externe et réseau interne. ■Serveur pour un ensemble de services prédéfinis : Service toile (HTTP), service de noms (DNS), service de messagerie …. Outils dans les pare-feux : 4) Bastion ■Service toile (HTTP), service de noms (DNS), service de messagerie …. ■Le bastion peut agir en rendant directement le service concerné. ■Le bastion peut agir en relayant les requêtes vers d’autres serveurs après avoir effectué un contôle d’accès applicatif (proxy-serveur). ■Le bastion doit être incontournable pour l’ensemble des services prévus. ■Le bastion peut servir dans la détection d’intrusion: ■Analyse des communications pour détecter des attaques : IDS (‘Intrusion Detection System’). ■Fonction pot de miel (Honeypot) : un service semblant attractif pour un attaquant et qui n’est en réalité qu’un piège pour détecter l’attaq 13 uant. Architecture de pare-feu avec routeur filtrant et bastion 14 Réseau externe Réseau interne Routeur filtrant Pare-feu Bastion ■Terminologie : ■Réseau exposé, réseau périphérique ( ‘Peripheral Network’) ■Zone démilitarizée , DMZ, ‘De Militarized Zone’ ■Définition : Une partie d’un pare-feu qui est un sous-réseau. Outils dans les pare-feux : 5) Zone démilitarisée (réseau exposé) ■Une partie d’un pare-feu qui est un sous-réseau. ■Ce sous réseau placé en passerelle entre un réseau à protéger et un réseau externe non protégé. ■Propriétés visées : ■La zone démilitarizée est plus ouverte sur le réseau externe que le réseau interne. ■Elle dessert les systèmes exposés à l’extérieur : principalement les bastions . 15 Architecture de pare-feu avec routeurs, bastions et DMZ Routeur filtrant interne Bastion Réseau 16 Réseau externe Réseau interne Routeur filtrant externe Pare-feu Bastion interne Réseau Exposé (DMZ) En association avec le pare-feu : 6) Traducteur d’adresses NAT ■Traduction des adresses IP et TCP : ■NAT ‘Network Address Translation’ et PAT ‘Port Address Translation’ => Traduction combinée de port et d'adresse réseau: NAPT ‘Network Address and Port Translation’. ■Solution introduite pour économiser des adresses IP V4. 17 ■Solution introduite pour économiser des adresses IP V4. ■Solution utilisée en sécurité: ■NAPT permet de cacher le plan d’adressage interne: les adresses IP et les numéros de port ne sont plus connus à l’extérieur. ■NAPT n’autorise pas les connexions initialisées depuis le réseau externe. ■Solution différente du filtrage de paquets mais solution complémentaire. Pare-Feux Filtrage des paquets et 18 Filtrage des paquets et des segments Rappel: Structure d’un datagramme IP avec un segment TCP 19 ■Protocole de niveau liaison (PPP, niveau mac): ■Zone protocole utilisateur (démultiplexage): IP, IPX … ■Zones adresses: Adresses Ethernet IEEE802, (permettent de déterminer la source et la destination sur la liaison donc l’entrée ou la sortie) Zones importantes pour les pare-feux uploads/Ingenierie_Lourd/ le-concept-du-firewalls.pdf