LES TECHNOLOGIESLES TECHNOLOGIES

DUDIN Aymeric

MARINO Andrès

Contexte et Menaces

Sécurité et intégrité de réseaux et de systèmes

Connexion d'un réseau privé à un autre Interne ou externe à l'entreprise

Prévention contre l'accès non autorisé à des données et à des ressources privées

Prévention de l'exportation ou de l’importation de données privées.

Journalisation du trafic des données

Journalisation de toute tentative d'accès

Garde-barrière

Intercepte et contrôle le trafic entre réseaux à différents niveaux de confiance

Fait partie du périmètre de défense d'une entreprise ou d'une organisation

Met en oeuvre une partie de la politique de sécurité

Fournit des éléments d'audit

Rôle Firewall ?

Permettre des accès “légitimes” et rejeter les demandes d'accès non autorisés

Permettre des connexions plus sûres depuis un réseau ouvert tel que Internet

Auditer l'utilisation des ressources réseaux ainsi que les tentatives d'accès

Connecter des réseaux internes ayant un plan d'adressage non officiel

Point d'entrée et de contact unique pour une entreprise, entité ou organisation Ex : firewall.univ-lyon1.fr

Schéma

Réseau local

InterneInternett

Schéma

Réseau local

Garde

Barrière

InterneInternett

Règles de Sécurité

Tout ce qui n’est pas interdit est autorisé Le garde-barrière interdit les services réseaux qui sont

connus pour présenter des risques ou constituer une menace

Les utilisateurs sont susceptibles de d'introduire des systèmes présentant des failles dans le domaine de la sécurité

Tout ce qui n’est pas autorisé est interdit Le garde-barrière interdit tout par défaut L'administrateur doit valider l'utilisation de chaque service

réseau Implicitement, cela revient à "brider" l'utilisateur

Techniques de filtrage

Filtre de paquets IP

Firewall de niveau circuit (couche transport) TCP

Firewall de couche application Services proxy

Filtre dynamique de paquets UDP

Filtre de paquetsTraitement des paquets selon plusieurs critères Adresse(s), options d'en-tête, champs de niveaux

supérieurs Port TCP

Connexion directe extérieur/intérieur Pas de possibilité de masquage d'adresse Nécessité de protéger chaque serveur interne susceptible

de communiquer avec un client externe

Restrictions : Journalisation et alarmes peu précises Pas d'authentification Modification "simple" des règles de filtrage qui créent des

brèches dans la politique de sécurité

Filtre de paquets

Filtre de paquets

Pile réseau

Paquets entrants

Liste de règles

Paquets propagésEx: IP 134.214.88.* : 21

Firewall de niveau circuit(couche transport)

Relais de connexions TCP ou UDP

Restrictions Généralement, utilisation de l'intérieur vers

l'extérieur Peu ou pas d'authentification Journalisation et audit non spécifiques

Nécessite généralement de modifier les clients afin de s'appuyer sur un protocole particulier pour dialoguer avec le garde-barrière

Firewall de niveau circuit

Liste des circuits ouverts

Paquets entrants Paquets propagés

• Vérification du protocole• Contrôle des circuits ouverts• Ouverture/Fermeture d’un circuit

• État de la session• Adresses source/destination• Interface physique

Proxy/application Gateway

Les Proxy-application Gateways sont utilisables pour différents types de trafic : "Store & forward" : FTP, SMTP, ... Interactif : Telnet, ...

Les proxies sont spécifiques pour chaque application (service) et peuvent journaliser et auditer tout trafic associé.

Les proxies peuvent être conçus en intégrant un mécanisme d'authentification supplémentaire.

Les serveurs peuvent jouer d'autres rôles. Relais : SMTP, ... Serveur : DNS, FTP, NNTP, ...

Proxy/application Gateway

Réseau local

Réseau local

Internet

Internet

Serveur réel

Serveur proxy Client proxy

Protocoled’analyse

Journaux d'auditClient réel

Proxy/application Gateway

Journalisation détaillée possible jusqu'au détail de la session

Politique de sécurité plus facile à implémenter

Authentifications possibles

Proxy/application Gateway

Temps de latence plus élevé qu'avec des filtering gateways

Parfois moins de transparence Tout service n'est pas forcément supporté Authentification

Délais entre le developpement d’un nouveau protocole et du proxy associé

Filtrage dynamique de paquets

Appliqué à UDP, ICMP

Associé à un filtre de paquets

Méthode : Requête sortante Établissement d’un circuit virtuel temporaire Attente de réponse Effacement du circuit

Architecture Firewall

Problèmes des performances de sécurité et de débit. Une seule machine effectue tout le travail

Adaptation du type de filtrage aux besoins Simple filtrage de paquet ou filtrage d’application

Découpage des taches sur plusieurs serveurs. Plusieurs firewall, en parallèle ou en série.

Firewall avec routeur de filtrage

INTERNET

Filtrage de paquets.Avantage : peu coûteux, rapide

Inconvénient : filtrage peu « intelligent », unique rempart.

Routeur

Rés

eau

inte

rne

Passerelle double ou réseau bastion

INTERNET

L’hôte bastion cumule les fonctions de filtrage, de PROXY, de passerelle applicative et d’audit.

Passerelle double

Rés

eau

inte

rne

Hôte bastion

Firewall avec réseau de filtrage

InternetHôte bastion

Le routeur ne permet la communication depuis Internet qu'avec l’hôte bastion.

Routeur

Firewall avec sous-réseau de filtrage

Le routeur externe ne permetles communications Internet

qu'avec le Bastion

Internet

Hôte bastion

Ré

sea

u D

MZ

Ré

sea

u in

tern

e

Le routeur interne ne permet les communications internes qu'avec le

Bastion

Routeur

Routeur

Conclusion

Limites physiques : débits / sécurité

Limites économiques : Firewall clef en main et télémaintenance

Firewall une solution efficace, mais une vigilance constante.

QUESTIONS ?