Académique Documents
Professionnel Documents
Culture Documents
Chapitre 8
Contrle daccs, Filtrage et ACL
Rseau interne LAN Trafic sortant Trafic entrant Rseau externe Internet
Internet
Adresse IP source Adresse IP destination Port source P Port destination Protocole encapsul (ICMP UDP TCP) (ICMP, UDP, TCP ) Flag ACK (de TCP) Type du message ICMP
Routeur externe Routeur interne
192.168.22.35
Web/80 TCP
Rseau Priphrique
Rseau Priv
Prot
TCP TCP Tous
IP Source
192.168.22.35 Toutes Toutes
IP Dest
Toutes 192.168.22.35 Toutes
Port Source
80 > 1023 Tous
Port Dest
> 1023 80 Tous
ACK=1
Oui -----
Action
Autoriser Autoriser Refuser
B C
Types de filtrage
Filtrage sans tat: Stateless
Filtrage simple: Regarder chaque paquet part et le g g comparer une liste de rgles prconfigures (ACL) Implment sur les routeurs et les systmes dexploitations
Types de filtrage
Filtrage tat: Statefull
Tracer les sessions et les connexions dans des tables d'tats internes au Firewall Dcider en fonction des tats de connexions Exemple: vrifier que chaque paquet d'une connexion est bien la suite du prcdent paquet et la rponse un paquet dans l'autre sens Lapplication des rgles est possible sans lire les ACL L li ti d l t ibl li l chaque fois (les paquets dune connexion actives seront accepts)
5 6
Limites
Utiliser un trop grand nombre de rgles pour que le Firewall offre une relle protection Sensibles aux attaques IP spoofing / IP flooding; attaques DoS
Types de filtrage
Filtrage applicatif (firewall de type proxy )
Ralis au niveau de la couche Application Permet dextraire les donnes du protocole applicatif p pp pour les tudier Chaque protocole est filtr par un processus ddi
Limites
Problmes de performance pour les rseaux grand trafic
7
Sortant 192 168 22 35 192.168.22.35 Sortant Entrant Toutes Interne Externe Toutes
Internet
192.168.22.35
Web/80 TCP
Web/80 TCP
Internet
A B D
192.168.22.35
Web/80 TCP
Rseau Priphrique
Rseau Priphrique
C
Rseau Priv
9
Rseau Priv
10
Firewall logiciels
Firewall professionnels F ll f l
Firewall libre : Netfilter / iptables Firewall commercial : CheckPoint Firewall 1 ASA, PIX Firewall-1, ASA
Firewall personnels
Kerio, Kerio Zone Alarm Alarm
11
12
Un routeur filtrant
Examine chaque paquet afin de dterminer s'il doit l'acheminer ou l'abandonner Bien adapt aux PME Pas de fichiers logs et pas de statistiques
15
16
17
18
Router(config)# access-list 14 deny 192.168.16.0 0.0.0.255 (tous les htes) Router(config)# access-list 14 deny 192.168.16.0 0.0.0.127 (1re moiti) Router(config)# access-list 14 deny 192.168.16.128 0.0.0.127 (2me moiti)
21
23
28
show ip interface
Montre lACL appliqu linterface (inbound et outbound).
show running-config h i fi
Montre toutes les ACLs et les interfaces o elle sont appliques
29 30
A retenir
Assigner une seule ACL par interface, par protocole et par direction (une seule ACL inbound et une seule ACL ( outbound par interface) Lajout de nouvelle lignes se fait la fin de la liste j g Une ACL se termine par un deny any implicite une liste d accs daccs doit contenir au minimum une ligne permit Les ACL ne permettent pas de filtrer le trafic gnr par le routeur Placer les ACL standards prs de la destination Placer les ACL etendues prs d l source Pl l d de la
31