Académique Documents
Professionnel Documents
Culture Documents
H. EL FADILI
Sommaire
A- Firewall
B- Filtrage
C- DMZ
D- Architectures scurises
E- NAT
ENSAF
H. EL FADILI
A- Firewall
ENSAF
H. EL FADILI
Firewall
ENSAF
Firewall
Recommandations de securit:
ENSAF
H. EL FADILI
Caractristiques du firewall
ENSAF
H. EL FADILI
Configurations possibles
ENSAF
malicieuses
Entre/Sortie dinformation sur support physique
contenant un trafic interdit par le firewall.
ENSAF
H. EL FADILI
ENSAF
ENSAF
H. EL FADILI
B- Filtrage
ENSAF
H. EL FADILI
Filtrage
ENSAF
H. EL FADILI
Trafic entrant
Rseau 2
Rseau 1
Trafic sortant
ENSAF
H. EL FADILI
Types de Filtrage
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
ICMP
TCP
UDP
adresse IP source
adresse IP destination
protocole
port source
Port destination
Segment TCP
Dfinitions
Un filtre :
est une suite ordonne de rgles de filtrage.
Une rgle
est de la forme : Si condition alors action.
une condition est la conjonction de tests dappartenance
dun champ un sous-ensemble de valeurs
une action est de la forme :
accept, reject(deny), reject with log(journaliser les trafics de cette
rgle),
ENSAF
H. EL FADILI
Exemples de filtre :
Rejeter le trafic provenant du rseau 172.17.0.0
Accepter tout le trafic entrant vers le port 80
Rejeter le trafic provenant du rseau
10.3.40.0/24 et du port TCP 1247 et destination
du serveur 10.3.41.200 sur le port TCP 443
Exemple 2
Rgle
Action
IP source
IP dest
Protocole Port
Srce
Port
Dest
Accept
any
172.10.0.1
2
TCP
Any
80
Accept
any
TCP
Any
25
deny
192.168.10.0/
24
any
Any
any
Any
any
ENSAF
H. EL FADILI
Exemple 3 :
Serveur
SMTP
Firewall
Politique de scurit :
Disposant dun serveur mail consultable de lextrieur
Donnez les rgles implmenter sur le firewall pour respecter la politique
suivante :
les envois extrieurs de mails par les utilisateurs internes sont autoriss
Trafic sortant :
Sortant
Port destination 25
Accepter
Protocole TCP
Sinon rejeter
eth0
Si Port destination = 25
et TCP
Alors accept
Sinon reject
ENSAF
H. EL FADILI
Transformation en rgles :
Trafic sortant
Rgl
e
1
Action
IP source
IP dest
Protocole
Port Srce
Accept
any
Any
TCP
any
Port
Dest
25
Deny
any
Any
any
Any
any
ENSAF
H. EL FADILI
les rcuprations extrieurs de mails par des utilisateurs nomades sont autoriss
Mais les mails provenant de spammeurs recenss sont interdits.
Entrant
Trafic entrant :
Interdit
Accepter
Protocole TCP
Si @IPsource = @IPspammeur
Alors reject
Sinon si @IPDest = serveurSMTP
et Port destination = 143
et TCP
Alors accept
Sinon reject
Sinon rejeter
Trafic entrant
Supposons quon connat le spammeur 212.10.0.12 et que notre
serveur SMTP 192.168.10.1
Rgl
e
1
Action
IP source
IP dest
Protocole
Port Srce
deny
212.10.0.12
Any
Any
Any
Port
Dest
Any
Accept
any
192.168.10.1
TCP
any
143
Deny
any
Any
any
Any
any
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
Exemple :
Firewall
Autoriser laccs Internet aux utilisateurs internes ?
Autoriser les paquets sortants avec :
port source >1023, port destination 80
Autoriser les paquets entrants avec :
port source 80, port destination >1023
Interdire autre trafic
Si un pirate :
envoie un cheval de troie ouvrant le port 2048 sur une machine du LAN et envoie
un paquet forg :
port source 80, port destination 2048
Pourra-t-il communiquer avec cette machine ?
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
Client
(login/passwd)
IP
Serveur
telnet
Hijacker
Port 23
Autoriser les paquets entrants avec port dest 23, source >1023
Autoriser les paquets sortants avec port dest >1023, source 23
Interdire autre
Le pirate envoie des paquets telnet avec la mme IP que le client (IP spoofing) et avec un
num de squence prdit pour tromper le serveur
Le firewall laisse passer ce trafic?. Oui
Fermeture force dune session lgitime : Le serveur ferme la session en cas de faux num
de squence
ENSAF
H. EL FADILI
Serveur
FTP
Canal
DATA
21
20
Autoriser les paquets entrants avec port dest 21, source >1023
Autoriser les paquets sortants avec port source 21, dest >1023
Interdire autre
ENSAF
H. EL FADILI
Serveur
FTP
Canal
DATA
21
M > 1023
Autoriser les paquets entrants avec port dest 21, source >1023
Autoriser les paquets sortants avec port source 21, dest >1023
Interdire autre
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
avantage : ne pas fermer la session tant que les parties lgitimes ne lont
pas dcid.
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
3. Filtrage applicatif
ENSAF
H. EL FADILI
Avantages :
Rsoudre le problme de certains protocoles comme
le FTP ou il y a change applicatif des ports ouvrir
par le client ou le serveur pour tablir le canal data. Le
firewall ayant cette information ouvre dynamiquement
les ports requis.
Le filtrage applicatif permet daffiner le filtrage en
refusant/acceptant des fonctions du protocole
applicatif.
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
Types de Firewall
ENSAF
H. EL FADILI
Orientations du firewall
ENSAF
H. EL FADILI
Exemple
Orientation 1:
Orientation 2:
Interdire la plage 192.168.0.101 -> .0.200
Si un paquet ayant ladresse 172.10.0.1 essaie daccder Internet, quelle orientation larrtera ?
ENSAF
H. EL FADILI
C- DMZ
ENSAF
H. EL FADILI
C- DMZ
Problme :
Soit un rseau interne se connectant un rseau
risque (internet par exemple), certaines
machines du rseau interne ont besoin dtre
accessible de lextrieur (serveur web,
messagerie, FTP, )
Comment procder ?
ENSAF
H. EL FADILI
WEB
Firewall
FTP
Trafic autoris
Solution1 :
Mettre les serveurs publics sur le mme segment
interne
Sur le firewall on doit autoriser laccs de
lextrieur vers les serveurs (publics)
Risque dintrusion sur les machines internes du
LAN
Solution 2 :
Sparer le LAN des serveurs publics
lier les machines serveurs sur une autre interface du
firewall : zone dmilitarise
Permettre sur le firewall la communication entrante
vers cette zone
Interdire les communications entrantes vers le rseau
LAN protection du LAN
ENSAF
H. EL FADILI
WEB
Trafic autoris
Firewall
FTP
interdire
Mail
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
ENSAF
H. EL FADILI
Trafic interdit
WEB
Trafic autoris
Firewall
FTP
autoris
Mail
interdit
interdire
autoris
ENSAF
H. EL FADILI
D- Architectures scurises
ENSAF
H. EL FADILI
D- Architectures scurises
ENSAF
H. EL FADILI
Adapt aux petites entreprises : car ne possdent pas de services publics offrir pas de
DMZ
Non securis
Le routeur est dit perimeter router : assure le routage
Le routeur assure une certaine scurit en cachant le segment interne par un adressage non
visible de lextrieur
ENSAF
H. EL FADILI
Filtrage
applicatif
DMZ
Moyennes et grandes entreprises
Plus de protection
ENSAF
H. EL FADILI
DMZ
Perimeter
router
Filtrage
applicatif
Routeur
interne
DMZ
Inconvnient : grand trafic de routage
Le rseau local est bcp plus protg par un routeur interne qui masque ladressage, un intrus prenant
le contrle du web server devinera difficilement ladressage interne
On est bcp plus labri des attaques avec plusieurs interfaces rseau (scurit par segmentation)
E- NAT
E- NAT
NAT principe
pnurie
non routable sur internet : adressable juste dans un rseau
local lexclusion du rseau internet.
Adresse IP publique :
unique : restrictions de dclaration et denregistrement de ladresse
NAT principe
Problme :
Comment assurer le routage de la rponse dun paquet
portant comme adresse source une adresse prive ?
Types de NAT
Il existe trois types de NAT qui different selon
le nombre dadresse IP publiques disponibles :
NAT statique : One to One
NAT dynamique : Many to Many
NAPT (Overloading) : Many to One
NAT statique
123.227.165.221
123.227.165.222
123.227.165.223
10.0.0.1
NAT
10.0.0.2
10.0.0.3
10.0.0.4
La passerelle ralise la
correspondance les
utilisateurs du rseau local sont
joignables de lextrieur.
NAT dynamique
NAT dynamique
Avantage:
conomie dadresse
Souplesse : Pas besoin dentrer statiquement les correspondances
Optimisation des ressources : si un utilisateur nexploite pas sa
connexion Internet, la passerelle NAT raffecte son dadresse
publique.
Inconvnient :
Charge supplmentaire de calcul : sauvegarde des tats de
connexion pour dterminer si les utilisateurs exploitent leurs
adresse IP publique afin de les rutiliser.
NAPT
NAPT (Overloading) : Network address Port Translation, dit aussi
PAT (Port Address Translation) consiste attribuer une mme
adresse IP publique plusieurs utilisateurs dun mme rseau local
en jouant notamment sur les ports des applications.
Une requte envoye partir du port A dune source est retransmise avec le
port B de la passerelle
Une requte envoye partir du port C dune source est retransmise avec le
port D de la passerelle.
192.168.0.1
192.168.0.1
192.168.0.1
193.25.35.44
192.168.0.2
Port srce :2001
192.168.0.2
Table NAPT
Infos sources
192.168.0.1
192.168.0.2
192.168.0.1
Dans ce cas :
La NAT modifie lIP et le port source : en
mettant ladresse externe de la passerelle et un
port qui identifiera la connexion de manire
unique.
NAPT
Avantages du NAT
Economiser le nombre dadresse IP publiques :
Lconomie se fait de deux manires:
Avantages du NAT
Scurit : les terminaux ne sont pas directement
adressable de lextrieur.
Tous les flux transitant entre lintrieur et
lextrieur passent par la passerelle NAT qui est
exploit pour y intgrer un parefeu puisque la
scurit doit tre centralise en un point de
contrle unique.