LES TECHNOLOGIESLES TECHNOLOGIES
DUDIN Aymeric
MARINO Andrès
Contexte et Menaces
Sécurité et intégrité de réseaux et de systèmes
Connexion d'un réseau privé à un autre Interne ou externe à l'entreprise
Prévention contre l'accès non autorisé à des données et à des ressources privées
Prévention de l'exportation ou de l’importation de données privées.
Journalisation du trafic des données
Journalisation de toute tentative d'accès
Garde-barrière
Intercepte et contrôle le trafic entre réseaux à différents niveaux de confiance
Fait partie du périmètre de défense d'une entreprise ou d'une organisation
Met en oeuvre une partie de la politique de sécurité
Fournit des éléments d'audit
Rôle Firewall ?
Permettre des accès “légitimes” et rejeter les demandes d'accès non autorisés
Permettre des connexions plus sûres depuis un réseau ouvert tel que Internet
Auditer l'utilisation des ressources réseaux ainsi que les tentatives d'accès
Connecter des réseaux internes ayant un plan d'adressage non officiel
Point d'entrée et de contact unique pour une entreprise, entité ou organisation Ex : firewall.univ-lyon1.fr
Schéma
Réseau local
InterneInternett
Schéma
Réseau local
Garde
Barrière
InterneInternett
Règles de Sécurité
Tout ce qui n’est pas interdit est autorisé Le garde-barrière interdit les services réseaux qui sont
connus pour présenter des risques ou constituer une menace
Les utilisateurs sont susceptibles de d'introduire des systèmes présentant des failles dans le domaine de la sécurité
Tout ce qui n’est pas autorisé est interdit Le garde-barrière interdit tout par défaut L'administrateur doit valider l'utilisation de chaque service
réseau Implicitement, cela revient à "brider" l'utilisateur
Techniques de filtrage
Filtre de paquets IP
Firewall de niveau circuit (couche transport) TCP
Firewall de couche application Services proxy
Filtre dynamique de paquets UDP
Filtre de paquetsTraitement des paquets selon plusieurs critères Adresse(s), options d'en-tête, champs de niveaux
supérieurs Port TCP
Connexion directe extérieur/intérieur Pas de possibilité de masquage d'adresse Nécessité de protéger chaque serveur interne susceptible
de communiquer avec un client externe
Restrictions : Journalisation et alarmes peu précises Pas d'authentification Modification "simple" des règles de filtrage qui créent des
brèches dans la politique de sécurité
Filtre de paquets
Filtre de paquets
Pile réseau
Paquets entrants
Liste de règles
Paquets propagésEx: IP 134.214.88.* : 21
Firewall de niveau circuit(couche transport)
Relais de connexions TCP ou UDP
Restrictions Généralement, utilisation de l'intérieur vers
l'extérieur Peu ou pas d'authentification Journalisation et audit non spécifiques
Nécessite généralement de modifier les clients afin de s'appuyer sur un protocole particulier pour dialoguer avec le garde-barrière
Firewall de niveau circuit
Liste des circuits ouverts
Paquets entrants Paquets propagés
• Vérification du protocole• Contrôle des circuits ouverts• Ouverture/Fermeture d’un circuit
• État de la session• Adresses source/destination• Interface physique
Proxy/application Gateway
Les Proxy-application Gateways sont utilisables pour différents types de trafic : "Store & forward" : FTP, SMTP, ... Interactif : Telnet, ...
Les proxies sont spécifiques pour chaque application (service) et peuvent journaliser et auditer tout trafic associé.
Les proxies peuvent être conçus en intégrant un mécanisme d'authentification supplémentaire.
Les serveurs peuvent jouer d'autres rôles. Relais : SMTP, ... Serveur : DNS, FTP, NNTP, ...
Proxy/application Gateway
Réseau local
Réseau local
Internet
Internet
Serveur réel
Serveur proxy Client proxy
Protocoled’analyse
Journaux d'auditClient réel
Proxy/application Gateway
Journalisation détaillée possible jusqu'au détail de la session
Politique de sécurité plus facile à implémenter
Authentifications possibles
Proxy/application Gateway
Temps de latence plus élevé qu'avec des filtering gateways
Parfois moins de transparence Tout service n'est pas forcément supporté Authentification
Délais entre le developpement d’un nouveau protocole et du proxy associé
Filtrage dynamique de paquets
Appliqué à UDP, ICMP
Associé à un filtre de paquets
Méthode : Requête sortante Établissement d’un circuit virtuel temporaire Attente de réponse Effacement du circuit
Architecture Firewall
Problèmes des performances de sécurité et de débit. Une seule machine effectue tout le travail
Adaptation du type de filtrage aux besoins Simple filtrage de paquet ou filtrage d’application
Découpage des taches sur plusieurs serveurs. Plusieurs firewall, en parallèle ou en série.
Firewall avec routeur de filtrage
INTERNET
Filtrage de paquets.Avantage : peu coûteux, rapide
Inconvénient : filtrage peu « intelligent », unique rempart.
Routeur
Rés
eau
inte
rne
Passerelle double ou réseau bastion
INTERNET
L’hôte bastion cumule les fonctions de filtrage, de PROXY, de passerelle applicative et d’audit.
Passerelle double
Rés
eau
inte
rne
Hôte bastion
Firewall avec réseau de filtrage
InternetHôte bastion
Le routeur ne permet la communication depuis Internet qu'avec l’hôte bastion.
Routeur
Firewall avec sous-réseau de filtrage
Le routeur externe ne permetles communications Internet
qu'avec le Bastion
Internet
Hôte bastion
Ré
sea
u D
MZ
Ré
sea
u in
tern
e
Le routeur interne ne permet les communications internes qu'avec le
Bastion
Routeur
Routeur
Conclusion
Limites physiques : débits / sécurité
Limites économiques : Firewall clef en main et télémaintenance
Firewall une solution efficace, mais une vigilance constante.
QUESTIONS ?