Académique Documents
Professionnel Documents
Culture Documents
CHAPITRE 3
Par : Ali GHORBEL
Ali.ghorbel@esprit.tn
1
Plan
Introduction
Défense en profondeur
Les menaces réseaux
Firewall/Pare-feu
● Fonctionnement d'un firewall
● Architecture et déploiement d'un firewall
● La zone DMZ
● Types de firewall
Systèmes de Détection et de Prévention d'Intrusions
● Fonctionnement
● Techniques de détection
● Types d'IDS et d'IPS
Introduction
9
Pourquoi un firewall?
De nos jours, toutes les entreprises possédant un réseau local possèdent
aussi un accès à Internet, afin d’accéder à la manne d’information
disponible sur le réseau des réseaux, et de pouvoir communiquer avec
l’extérieur.
Cette ouverture vers l’extérieur est indispensable et dangereuse en même
temps.
Ouvrir l’entreprise vers le monde signifie aussi laisser place ouverte aux
étrangers pour essayer de pénétrer le réseau local de l’entreprise, et y
accomplir des actions douteuses, parfois gratuites, de destruction, vol
d’informations confidentielles, …
Les mobiles sont nombreux et dangereux.
Pour parer à ces attaques, une architecture sécurisée est nécessaire.
Pour cela, le cœur d’une telle architecture est basé sur un firewall.
9
Pourquoi un firewall?
Cet outil a pour but de sécuriser au maximum le réseau local de l’entreprise,
de détecter les tentatives d’intrusion et d’y parer au mieux possible.
Cela représente une sécurité supplémentaire rendant le réseau ouvert sur
Internet beaucoup plus sûr.
De plus, il peut permettre de restreindre l’accès interne vers l’extérieur.
En effet, des employés peuvent s’adonner à des activités que l’entreprise ne
cautionne pas, le meilleur exemple étant le jeu en ligne.
En plaçant un firewall limitant ou interdisant l’accès à ces services, l’entreprise
peut donc avoir un contrôle sur les activités se déroulant dans son enceinte.
Le firewall propose donc un véritable contrôle sur le trafic réseau de
l’entreprise.
Il permet d’analyser, de sécuriser et de gérer le trafic réseau, et ainsi d’utiliser
le réseau de la façon pour laquelle il a été prévu et sans l’encombrer avec des
activités inutiles, et d’empêcher une personne sans autorisation d’accéder à ce
réseau de données. 9
Firewall
Une interface pour le réseau externe ou Une interface pour le réseau à protéger
Internet (réseau interne ou LAN)
Firewall
Internet
Contrôle du trafic
Journalisation
Logiciel Appliance
Types de firewalls
Types de firewalls
Types de firewalls
Firewall
Bastion Host
DMZ
• Les limites:
Pas d’authentification des utilisateurs
Pas de traces des sessions individuelles
Problème de performance s’il y a trop de règles
Ce type de filtrage ne résiste pas à certaines
attaques de type IP Spoofing/ IP Flooding ou
encore certaines attaques de type DoS.
Application Proxy Filter/Filtrage Applicatif
Si le filtrage simple ne protège pas pour autant de
l'exploitation des failles applicatives.
Pas de contrôle du contenu HTTP.
Ne supporte pas l’authentification des utilisateurs ou des applications.
Server-Based Firewall
• Protéger les serveurs d'applications individuels
• Protéger les fichiers
26
Exemples de déploiement de Firewall
Systèmes de Détection d'Intrusions (IDS)
• Faux-positif:
Activité non malicieuse (fausse alerte) signalé comme étant une
intrusion par l’IDS
• Faux-négatif:
Activité ou évènement d’une attaque non détecté ni signalé par
l’IDS
• Evasion:
Attaque informatique ou technique qui détourne les
équipements de détection d’intrusion ( non détecté par les IDS)
Signature-based
Pattern matching Stateful matching
Anomaly-based (heuristic-based)
Statistical Protocol Traffic
anomaly anomaly anomaly
based based based
Rule based
Signature-based detection
• Deux types:
Pattern matching: Comparer les paquets aux signatures
Stateful matching: Comparer les signatures aux plusieurs
évènements en même temps.
Anomaly-based detection
• Trois types
Statistical anomaly–based: Création d’un profile appelé
‘’normale’’, auquel les évènements sont comparées.
Protocol anomaly–based: Identifie les protocoles utilisés
hors de leurs limites connues
Traffic anomaly–based: Identifie un évènement inhabituel
sur le trafic du réseau.
Rule-based detection
IDS Hybride
Rassemble les fonctionnalités d’un NIDS et HIDS, surveillance du réseau et de terminaux.
L’IDS hybride est utilisé dans un environnement décentralisé avec une supervisons centralise.
• Placement stratégique des sondes sur le réseau.
• Centraliser les informations en provenance de plusieurs emplacements (sondes) sur le réseau.
• Avoir une vision globale sur les composants du système d’information.
Déploiement d’un IDS
Position (1):
- Détection de tout le trafic entre l’Internet et le réseau
- Trafic entre le réseau local et DMZ invisible pour l’IDS
- Génération de fichiers de log complets mais très complexeà
analyser
- Bonne position pour les Honeypot
Position (2):
- Seul le trafic vers le DMZ est
analysé.
- Détecter les attaques non filtré par
le Firewall.
Position (3):
- Analyser le trafic et détecter les attaques au niveau réseaulocale.
- Détecter la majorité des attaques
- Les attaques internes sont les plus fréquents (Virus, Cheval de Troie,…)
Exemple de déploiement de sonde IDS
Système de Prévention d'Intrusions