• Un firewall est plus un concept qu’un matériel ou un logiciel • Met en œuvre une partie de la politique de sécurité
Qu’est-ce qu’un Firewall ?
Système physique ou logique servant
d’interface entre un ou plusieurs réseaux
Analyse les informations des couches 3, 4 et 7
2 20/12/2020
Pourquoi utiliser un Firewall ?
Les pare-feux sont utilisés principalement dans 4 buts : – Se protéger des malveillances "externes" – Éviter la fuite d’information non contrôlée vers l’extérieur – Surveiller les flux internes/externes – Faciliter l’administration du réseau
Principales fonctionnalités
• Filtrage • Authentification/Gestion des droits • NAT • Proxy
3 20/12/2020
Firewall à filtrage de Paquets
Fonctionnement du filtrage de paquets
Fonctionnement Chaque paquet est comparé à un certain nombre de règle (ACL), puis est transmis ou rejeté Avantages Implémenter sur les routeurs Apporte un premier degré de protection Inconvénients Définir des filtres de paquets est une tâche complexe Le débit diminue lorsque le nombre de filtres augmente
4 20/12/2020
Règles de filtrage Filtrage selon : l'adresse IP de la source et de la destination, le protocole, le port source et destination pour les protocoles TCP et UDP, le type de message pour le protocole ICMP, et l’interface physique d’entrée du paquet
Firewall à filtrage de Paquets
5 20/12/2020
Circuit Level Gateways
Fonctionnement du Circuit Level Gateway
Fonctionnement Capte et teste la validité des « handshake » TCP pour savoir si une session peut être ouverte Avantages C’est un firewall transparent Il cache les machines du réseau privé
6 20/12/2020
Fonctionnement du Circuit Level Gateway
Fonctionnement du Circuit Level Gateway
7 20/12/2020
Proxy
Fonctionnement du Proxy
Fonctionnement Similaire au « Circuit Level Gateway » Spécifique à une application Avantages Les paquets entrants et sortants ne peuvent accéder aux services pour lesquels il n’y a pas de proxy Permet de filtrer des commandes spécifiques (ex: GET ou POST pour HTTP) Le plus haut degré de sécurité Inconvénients Les performances les plus faibles N’est pas transparent pour les utilisateurs
8 20/12/2020
Firewall Multi-couches
Context Based Acces Control : CBAC
• Context-Based Access Control est un ensemble d'outils pour la sécurité
• Le filtrage de paquet par CBAC se fait après l'examen des en-têtes des couches 3 et 4
• CBAC fait partie de la fonctionnalité Pare-feu de l'IOS Cisco
- Disponible dès l'IOS 11.2 - Des fonctions ont été ajoutées à CBAC dans la Release 12.0.5(T) - La fonctionnalité de Pare-feu n'est pas disponible sur toutes les plateformes
• CBAC c'est: - Plus qu'une liste d'accès améliorée - Un ensemble d'outils de sécurité qui inclut: - Filtrage de trafic - Blocage Java - Inspection de trafic - Traçage d'alerte et audit - Détection d'intrusion
9 20/12/2020
Context Based Acces Control : CBAC
• CBAC a été conçu pour reconnaître un certain nombre de protocoles applicatifs
qui permettent à des hosts externes de changer de port pendant le transfert d'informations.
• CBAC trace l'état des connexions TCP et UDP incluant les numéros de ports et adresses IP de chaque extrémité.
• Quand le trafic d'un réseau externe tente d'entrer dans le réseau protégé, CBAC vérifie le trafic avec la table d'états pour être certain que le paquet fait partie d'une connexion déjà établie ou autorisée.
• CBAC examine le paquet pour déterminer quel protocole applicatif est utilisé.
• CBAC supporte les protocoles utilisant plusieurs ports. La majorité des protocoles multimédia de type "streaming" et d'autres protocoles (FTP, RPC et SQL*Net) utilise plusieurs ports.
Context Based Acces Control : CBAC
USER1 1. L'utilisateur User1 initie une session Telnet
Configuration du CBAC • Les étapes de la mise en fonction du CBAC sont : – fixer les paramètres des alertes et des rapports d’audit – fixer les temporisations et les seuils (nombre de connexions) – definir le Port-to-Application Mapping (PAM) – definir les règles d’inspection – appliquer les règles d’inspection et les ACL aux interfaces – Tester le fonctionnement
11 20/12/2020
Zone-Based Policy Firewall
Actions
Inspect – This Drop – This action is Pass – This action is
action configures analogous to deny in analogous to permit Cisco IOS stateful an ACL in an ACL packet inspection
12 20/12/2020
Implementing Zone-based Policy
Firewall with CLI 1. Create the zones for the firewall 2. Define traffic classes with the with the zone security class-map type inspect command command
3. Specify firewall policies with 4. Apply firewall policies to pairs of
the policy-map type source and destination zones with inspect command zone-pair security
5. Assign router interfaces to zones using the zone-member security
FW(config-cmap)# match access-group 101 FW(config-cmap)# match protocol tcp FW(config-cmap)# match protocol udp FW(config-cmap)# match protocol icmp FW(config-cmap)# exit FW(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any
Step 3: Define Firewall Policies
FW(config)# policy-map type inspect InsideToOutside
FW(config-pmap)# class type inspect FOREXAMPLE FW(config-pmap-c)# inspect
![MISE EN PLACE D’UN SERVEUR RADIUS [Enregistrement automatique]](https://imgv2-2-f.scribdassets.com/img/document/520540886/149x198/ddb0dba254/1629220016?v=1)
