Vous êtes sur la page 1sur 16

20/12/2020

Les Firewall

Problématique, Enjeux

1
20/12/2020

Qu’est-ce qu’un Firewall ?


• Un firewall est plus un concept qu’un matériel
ou un logiciel
• Met en œuvre une partie de la politique de
sécurité

Qu’est-ce qu’un Firewall ?

 Système physique ou logique servant


d’interface entre un ou plusieurs réseaux

 Analyse les
informations des
couches 3, 4 et 7

2
20/12/2020

Pourquoi utiliser un Firewall ?


Les pare-feux sont utilisés principalement dans 4
buts :
– Se protéger des malveillances "externes"
– Éviter la fuite d’information non contrôlée vers
l’extérieur
– Surveiller les flux internes/externes
– Faciliter l’administration du réseau

Principales fonctionnalités

• Filtrage
• Authentification/Gestion des droits
• NAT
• Proxy

3
20/12/2020

Firewall à filtrage de Paquets

Fonctionnement du filtrage de paquets

 Fonctionnement
 Chaque paquet est comparé à un certain nombre de règle (ACL), puis est
transmis ou rejeté
 Avantages
 Implémenter sur les routeurs
 Apporte un premier degré de protection
 Inconvénients
 Définir des filtres de paquets est une tâche complexe
 Le débit diminue lorsque le nombre de filtres augmente

4
20/12/2020

Règles de filtrage
Filtrage selon :
 l'adresse IP de la source et de la destination,
 le protocole,
 le port source et destination pour les protocoles TCP et UDP,
 le type de message pour le protocole ICMP,
 et l’interface physique d’entrée du paquet

Firewall à filtrage de Paquets

5
20/12/2020

Circuit Level Gateways

Fonctionnement du Circuit Level Gateway


 Fonctionnement
 Capte et teste la validité des « handshake » TCP pour savoir si une
session peut être ouverte
 Avantages
 C’est un firewall transparent
 Il cache les machines du réseau privé

6
20/12/2020

Fonctionnement du Circuit Level Gateway

Fonctionnement du Circuit Level Gateway

7
20/12/2020

Proxy

Fonctionnement du Proxy

 Fonctionnement
 Similaire au « Circuit Level Gateway »
 Spécifique à une application
 Avantages
 Les paquets entrants et sortants ne peuvent accéder aux services pour lesquels il
n’y a pas de proxy
 Permet de filtrer des commandes spécifiques (ex: GET ou POST pour HTTP)
 Le plus haut degré de sécurité
 Inconvénients
 Les performances les plus faibles
 N’est pas transparent pour les utilisateurs

8
20/12/2020

Firewall Multi-couches

Context Based Acces Control : CBAC

• Context-Based Access Control est un ensemble d'outils pour la sécurité

• Le filtrage de paquet par CBAC se fait après l'examen des en-têtes des
couches 3 et 4

• CBAC fait partie de la fonctionnalité Pare-feu de l'IOS Cisco


- Disponible dès l'IOS 11.2
- Des fonctions ont été ajoutées à CBAC dans la Release 12.0.5(T)
- La fonctionnalité de Pare-feu n'est pas disponible sur toutes les plateformes

• CBAC c'est:
- Plus qu'une liste d'accès améliorée
- Un ensemble d'outils de sécurité qui inclut:
- Filtrage de trafic
- Blocage Java
- Inspection de trafic
- Traçage d'alerte et audit
- Détection d'intrusion

9
20/12/2020

Context Based Acces Control : CBAC

• CBAC a été conçu pour reconnaître un certain nombre de protocoles applicatifs


qui permettent à des hosts externes de changer de port pendant le transfert
d'informations.

• CBAC trace l'état des connexions TCP et UDP incluant les numéros de ports et
adresses IP de chaque extrémité.

• Quand le trafic d'un réseau externe tente d'entrer dans le réseau protégé, CBAC
vérifie le trafic avec la table d'états pour être certain que le paquet fait partie
d'une connexion déjà établie ou autorisée.

• CBAC examine le paquet pour déterminer quel protocole applicatif est utilisé.

• CBAC supporte les protocoles utilisant plusieurs ports. La majorité des protocoles
multimédia de type "streaming" et d'autres protocoles (FTP, RPC et SQL*Net)
utilise plusieurs ports.

Context Based Acces Control : CBAC

USER1
1. L'utilisateur User1 initie
une session Telnet

3. Autre trafic Telnet


bloqué
S0
2. Trafic retour de l'utilisateur
User1, session Telnet permise

E0 S1
Pare-feu

Réseau interne protégé

10
20/12/2020

Context Based Acces Control : CBAC

Configuration du CBAC
• Les étapes de la mise en fonction du CBAC sont :
– fixer les paramètres des alertes et des rapports d’audit
– fixer les temporisations et les seuils (nombre de connexions)
– definir le Port-to-Application Mapping (PAM)
– definir les règles d’inspection
– appliquer les règles d’inspection et les ACL aux interfaces
– Tester le fonctionnement

11
20/12/2020

Zone-Based Policy Firewall

Actions

Inspect – This Drop – This action is Pass – This action is


action configures analogous to deny in analogous to permit
Cisco IOS stateful an ACL in an ACL
packet inspection

12
20/12/2020

Implementing Zone-based Policy


Firewall with CLI
1. Create the zones for the firewall 2. Define traffic classes with the
with the zone security class-map type inspect
command command

3. Specify firewall policies with 4. Apply firewall policies to pairs of


the policy-map type source and destination zones with
inspect command zone-pair security

5. Assign router interfaces to zones using the zone-member security


interface command

Step 1: Create the Zones

FW(config)# zone security Inside


FW(config-sec-zone)# description Inside network
FW(config)# zone security Outside
FW(config-sec-zone)# description Outside network

13
20/12/2020

Step 2: Define Traffic Classes

FW(config)# class-map type inspect FOREXAMPLE


FW(config-cmap)# match access-group 101
FW(config-cmap)# match protocol tcp
FW(config-cmap)# match protocol udp
FW(config-cmap)# match protocol icmp
FW(config-cmap)# exit
FW(config)# access-list 101 permit ip 10.0.0.0
0.0.0.255 any

Step 3: Define Firewall Policies

FW(config)# policy-map type inspect InsideToOutside


FW(config-pmap)# class type inspect FOREXAMPLE
FW(config-pmap-c)# inspect

14
20/12/2020

Step 4: Assign Policy Maps to Zone Pairs


and Assign Router Interfaces to Zones

FW(config)# zone-pair security InsideToOutside source Inside


destination Outside
FW(config-sec-zone-pair)# description Internet Access
FW(config-sec-zone-pair)# service-policy type inspect
InsideToOutside
FW(config-sec-zone-pair)# interface F0/0
FW(config-if)# zone-member security Inside
FW(config-if)# interface S0/0/0.100 point-to-point
FW(config-if)# zone-member security Outside

Final ZPF Configuration

policy-map type inspect InsideToOutside class


class-default inspect
!
zone security Inside description Inside
network
zone security Outside description Outside
network
zone-pair security InsideToOutside source
Inside destination Outside
service-policy type inspect InsideToOutside
!
interface FastEthernet0/0
zone-member security Inside
!
interface Serial0/0/0.100 point-to-point
zone-member security Outside

15
20/12/2020

Display Active Connection

Router# show policy-map type inspect zone-pair session

• Shows zone-based policy firewall session


statistics

16

Vous aimerez peut-être aussi