Académique Documents
Professionnel Documents
Culture Documents
Cours Parefeux
Cours Parefeux
Pare-feux
(Firewalls)
Grard Florin
- CNAM - Laboratoire CEDRIC -
Plan pare-feux
Introduction
Filtrage des paquets et des segments
Conclusion
Bibliographie
Pare-Feux
Introduction
Pare-feux (firewalls):
Architecture de base
Rseau
interne
Rseau
externe
Pare-feu
1) Un domaine protger : un rseau interne.
2) Un pare-feu
Pare-feux (firewalls):
Dfinitions de base
1) Firewall : en anglais un mur qui empche la propagation
dun incendie dans un btiment => Franais mur pare-feu.
2) Pare-feu : en informatique une protection dun rseau
contre des attaques.
3) Technique employe : le contrle daccs (le filtrage).
Pare-feux :
le possible et limpossible
Ce que peut faire un pare-feux :
Mise en oeuvre :
Analyse des services utiliss par les utilisateurs.
Exemple 1 : Un hte serveur de courrier doit pouvoir utiliser SMTP.
Exemple 2 : Un hte devant accder au Web doit pouvoir utiliser HTTP.
Avantages/inconvnients
Solution la plus scuritaire et la plus confortable pour
ladministrateur de la scurit.
Solution qui limite considrablement les droits des usagers.
Politiques de scurit :
2) Autoriser tout par dfaut
Prsentation gnrale de la solution :
On permet tout sauf ce qui est considr comme dangereux => Tout ce
qui nest pas explicitement interdit est autoris.
Mise en oeuvre :
On analyse les diffrents risques des applications qui doivent sexcuter.
=> On en dduit les interdictions appliquer, on autorise tout le reste.
Exemple 1 : Interdire compltement les accs en Telnet depuis
lextrieur ou les autoriser sur une seule machine.
Exemple 2 : Interdire les transferts FTP ou les partages NFS depuis
lintrieur (protection des donnes).
Avantages/inconvnients
Solution inconfortable pour ladministrateur de la scurit.
Solution qui facilite laccs des usagers au rseau.
Rseau interne
Rseau
externe
Routeur
Flux interdits
Flux autoris
Pare-feu
10
Proprit:
Si un hte connecte deux sous rseaux,
Et sil nest pas configur en routeur.
=> Il est impossible un paquet de passer dun rseau
lautre sans tre trait au niveau applicatif.
=> Cest un proxy incontournable.
12
Rseau
interne
Bastion
Rseau
externe
Routeur filtrant
Pare-feu
14
Dfinition :
Une partie dun pare-feu qui est un sous-rseau.
Ce sous rseau plac en passerelle entre un rseau
protger et un rseau externe non protg.
Proprits vises :
La zone dmilitarize est plus ouverte sur le rseau externe
que le rseau interne.
Elle dessert les systmes exposs lextrieur :
principalement les bastions .
15
Routeur
filtrant
interne
Rseau
interne
Bastion
Rseau
Expos
(DMZ)
Bastion
Pare-feu
Rseau
externe
Routeur
filtrant
externe
16
Pare-Feux
18
19
Protocole IP:
Adresses source et destination.
Drapeaux (Flags): en particulier ceux qui concernent la
fragmentation.
Le type de protocole destinataire: TCP, UDP, ICMP, ...
Analyse des zones dextension par exemple en routage par
la source => Demande de destruction de ces datagrammes
20
car utilisation possible du routage par la source en attaque.
Protocole dapplication :
Analyse non ralise par les filtres de paquets mais par les proxys
serveurs.
Lapplication filtre doit tre trs stabilise.
21
Rseau
interne
Direction sortante
Rseau
externe
Direction entrante
Paquet entrant
Paquet sortant
Paquet entrant
Paquet sortant
Application dune rgle de filtrage : soit des la rception (on filtre les
paquets arrivs) ou avant lmission (on filtre les paquets aprs le routage
23
juste avant la sortie)
IP Source
Port Source
IP Dest
Port Dest
Complment
Interdire
TCP
IP Source
Port Source
IP Dest
Port Dest
Complment
Autoriser
Smtp-local
25
TCP
IP Source
Port Source
IP Dest
Port Dest
Complment
Interdire
Smtp_distant
TCP
26
Rgle
IP Source
Port Source
IP Dest
Port Dest
Complment
Interdire
Smtp-distant
TCP
Autoriser
Smtp_local
25
TCP
Interdire
TCP
Envoyer
SYN, seq=x
Recevoir
SYN,
ACK segment
Envoyer
ACK prsent dans pratiquement tous les
segments sauf le premier (exception les ACK y+1
segments RST quon peut autoriser
explicitement).
Il suffit de bloquer un segment sans segment ACK
ACK pour interdire la mise en place
donc lexistence dune connexion.
segment ACK
Recevoir
segment SYN
Envoyer
SYN, seq=y
ACK x+1
Recevoir
segment ACK
segment ACK
segment28ACK
IP Source
Port Source
IP Dest
Port Dest
Complment
Autoriser
Mes-hotes
Service-TCP
TCP
Autoriser
Service-TCP
TCP, ACK29
Conclusion
Avantages des filtres de paquets
Un filtre de paquets peut protger en un
seul dispositif tout un rseau dentreprise.
La mise en place du filtre peut tre
ralise par lquipe systme
indpendamment des usagers qui grent les
postes clients ou serveurs.
Les filtres de paquets sont trs rpandus
dans tous les routeurs
sous forme de logiciels filtres logiciels libres ou
propritaires.
30
31
Bibliographie :
ParePare-feux
D. Brent Chapman, Elisabeth D. Wwicky La
scurit sur Internet Firewalls OReilly ,
1996.
William R. Cheswick, Steven M. Bellovin,
Firewalls and Internet security, Addison
Wesley, 1994.
32