Académique Documents
Professionnel Documents
Culture Documents
Introduction:
Chaque ordinateur connect internet est expos aux attaques de pirates.
La mthodologie gnralement employe par les pirates consiste scruter le rseau
(en envoyant des paquets de donnes de manire alatoire) la recherche d'une
machine connecte, puis chercher une faille de scurit afin de l'exploiter.
Cette menace est d'autant plus grande que la machine est connecte en permanence
internet pour plusieurs raisons :
La machine cible est susceptible d'tre connecte sans pour autant tre surveille ;
La machine cible est gnralement connecte avec une plus large bande passante ;
La machine cible ne change pas (ou peu) d'adresse IP.
...
Les ports reconnus (dont le numro est compris entre 0 et 1023) sont
associs des services courants.
(les ports 25 et 110 sont par exemple associs au courrier lectronique, et le
port 80 au Web).
La plupart des dispositifs pare-feu sont au minimum configurs de manire
filtrer les communications selon le port utilis.
Il est gnralement conseill de bloquer tous les ports qui ne sont pas
indispensables (selon la politique de scurit retenue).
Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs
pare-feu car il correspond au protocole Telnet
Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie
qu'un individu est susceptible d'couter le rseau et de voler les ventuels
mots de passe circulant en clair.
...
10
Le filtrage dynamique
Le filtrage simple de paquets ne s'attache qu' examiner les paquets IP
indpendamment les uns des autres, ce qui correspond au niveau 3 du modle OSI.
La plupart des connexions reposent sur le protocole TCP, qui gre la notion de
session, afin d'assurer le bon droulement des changes.
De nombreux services (le FTP par exemple) initient une connexion sur un port
statique, ouvrent dynamiquement (manire alatoire) un port afin d'tablir une
session entre la machine faisant office de serveur et la machine cliente.
Ainsi, il est impossible avec un filtrage simple de paquets de prvoir les ports
laisser passer ou interdire.
11
Plus de prcision:
Pour le protocole Ftp (et les protocoles fonctionnant de la mme
faon), il faut grer l'tat de deux connexions.
En effet, le protocole Ftp, gre un canal de contrle tabli par le
client, et un canal de donnes tabli par le serveur.
Le Firewall devra donc laisser passer le flux de donnes tabli par
le serveur.
Ce qui implique que le Firewall connaisse le protocole Ftp, et tous
les protocoles fonctionnant sur le mme principe.
Cette technique est connue sous le nom de filtrage dynamique
(Stateful Inspection) et a t invente par Checkpoint
12
...
Un dispositif pare-feu de type stateful inspection est capable d'assurer un
suivi des changes, i.e de tenir compte de l'tat des anciens paquets pour
appliquer les rgles de filtrage.
13
Le filtrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application.
Le filtrage applicatif opre au niveau 7 (couche application) du modle OSI,
contrairement au filtrage de paquets simple (niveau 3).
Le filtrage applicatif suppose une connaissance des protocoles utiliss par chaque
application.
.
Le filtrage applicatif suppose donc une bonne connaissance des applications prsentes
sur le rseau, et notamment de la manire dont elle structure les donnes changes
(ports, etc.).
Un firewall effectuant un filtrage applicatif est appel passerelle applicative (ou
proxy ), car il sert de relais entre deux rseaux en s'interposant et en effectuant
une validation fine du contenu des paquets changs.
14
PROXY:
Le proxy est un intermdiaire entre les machines du rseau
interne et le rseau externe, subissant les attaques leur place.
Plus de prcision:
Il faut nuancer la supriorit du filtrage applicatif par rapport la
technologie Stateful:
Les proxys doivent tre paramtrs suffisamment finement pour limiter le
champ d'action des attaquants.
ce qui ncessite une trs bonne connaissance des protocoles autoriss
traverser le firewall.
Un proxy est plus susceptible de prsenter une faille de scurit
permettant un pirate d'en prendre le contrle, et de lui donner un
accs sans restriction tout le systme d'information.
Il faut protger le proxy par un Firewall de type Stateful Inspection. Il vaut
mieux viter d'installer les deux types de filtrage sur le mme Firewall,
(compromission de l'un entrane la compromission de l'autre).
16
17
18
Squid est un logiciel permettant la ralisation d'un cache pour les clients web. Squid
peut aussi jouer le rle de filtre http.
* Cache : espace o l'on stocke les pages les plus visites
Squid agit comme un agent qui reoit des requtes de clients, les transmet au
serveur Internet concern et stocke l'information retourne par le serveur Internet.
Si l'information est demande plusieurs fois, alors le contenu stock sera retourn
aux clients, ce qui rduit la bande passante utilise et acclre les oprations.
19
Zone dmilitarise
24
Architectures scurises:
Architecture accs DMZ via le pare-feu
connecter directement le serveur web de lentreprise sur une des
interfaces rseau du pare-feu.
firewall
25
Architecture scurise:
Un firewall a en gnral 3 cartes rseau. Une relie au routeur connecte
Internet, une connecte la DMZ, la dernire connecte au LAN local.
26
Intgrs directement dans la machine, ils font office de boite noire , et ont
une intgration parfaite avec le matriel.
Leur configuration est souvent relativement ardue, mais leur avantage est
que leur interaction avec les autres fonctionnalits du routeur est simplifie de
par leur prsence sur le mme quipement rseau.
Souvent relativement peu flexibles en terme de configuration, ils sont aussi
peu vulnrables aux attaques, car prsent dans la boite noire qu'est le
routeur.
De plus, tant souvent trs lis au matriel, l'accs leur code est assez
difficile, et le constructeur a eu toute latitude pour produire des systme de
codes signs afin d'authentifier le logiciel (systme RSA ou assimils).
27
28
29
30
31
32
33
34
35
36
37
38