Vous êtes sur la page 1sur 28

e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Les Firewalls

Sylvain Maret
e-Xpert Solutions SA

info@e-xpertsolutions.com | www.e-xpertsolutions.com
Les firewalls: définition de base


Outil de contrôle des communications réseaux

Agit comme un filtre

Contrôle en temps réel les communications

Trois grandes familles

Packet Filter (niveau 3)

Proxy ou relais applicatifs (niveau 7)

Stateful Inspection (niveau 3)

Outil de base de la sécurité…

N’est plus suffisant !
Solutions à la clef
Les firewalls


Les services standards du firewall

Contrôle d’accès

Accounting

Authentification

Translation d’adresse (NAT)

Les autres services

VPN

IDS

Authentification

Contrôle de contenu (AV, filtrage d’URL, Code mobile, etc.)

Haute disponibilité

Etc.
Solutions à la clef
Exemple d’implémentation

Solutions à la clef
Firewall « packet filter »

Source: Checkpoint 2002


Solutions à la clef
Packet Filter: Screening Routers


1er approche (connexion Internet)

Séparation réseau interne de l’internet

Basé sur les routeurs

Travail au niveau 3 et 4 (Modèle OSI)

Complexe à maintennir

Solutions à la clef
Critère de sélection pour le filtrage


Protocole IP (TCP, UDP, ESP, AH, etc.)

IP Destination

IP Source

Port Destination

Port Source

Interface

Outside, Inside

Sens (inbound, outbound)

Solutions à la clef
Exemple de règles firewall

Solutions à la clef
Exemple de règles firewall

Solutions à la clef
Exemple avec FTP (non PASV)

1 Control Connection port 21;1050

1050;21
2
3 Data Connection port 1080;20

20;1080 4

Any external IP

192.168.100.100

Solutions à la clef
Exemple !

Action Source Source Dest Dest Port


Port

Allow 192.168. * * 21
100.100

Allow * 20 192.168. > 1024


100.100

Block * * * *

Solutions à la clef
Exemple avec un Cisco: Choke Router

Solutions à la clef
Config Cisco

Solutions à la clef
Firewall « proxy »

Source: Checkpoint 2002


Solutions à la clef
Firewall « Stateful Inspection »

Source: Checkpoint 2002


Solutions à la clef
Exemple de Checkpoint

IP TCP Session Application


1 Application

2 Presentation

3 Session Packet
Log/Alert Matches
Rule
4 Transport Yes
?

5 Network
No

FW-1 Next Rule

Pass the No
Packet Send NACK
6 Data Link (HW IF) Yes ?

7 HW Connection No Drop the Packet

The Inspection Module is located inside the Operating System Kernel - between the device driver and the IP stack.

Solutions à la clef
Exemple avec FTP: stateful inspection

Source: Checkpoint 2002


Solutions à la clef
Exemple de règles firewall: Checkpoint

Solutions à la clef
Exemple de « log » avec Checkpoint

Solutions à la clef
Translation d’adresses: « NAT »


Mécanisme de modification des adresses IP source ou/
et destination

Eventuellement changement des ports: PAT

NAT « Static »

1 vers 1

En source ou en destination

NAT « Hide »

N vers 1

Utilise de la PAT

Utiliser pour cacher un réseau (accès Internet) Solutions à la clef
Static Source

Solutions à la clef
Stactic Destination

Solutions à la clef
Hide

Solutions à la clef
Authentification

Solutions à la clef
VPN site à site

Solutions à la clef
VPN Remote Users

Solutions à la clef
Firewalls: tendance des Appliances


Concept de « black box »

Est considéré comme un élément classique du réseau

Routeur, Switchs, RAS, etc.

Facilité d’exploitation

Facilité d’utilisation

Niveau de sécurité élevé

Gestion par SSL et/ou SSH

Performance

OS de type Unix / Linux Solutions à la clef
Case Studie


Entreprise connexion sur Internet

Mail server

DNS

Web Server

Surfing HTTP

Proxy

Contrôle de Virus

VPN Remote Users
Solutions à la clef

Vous aimerez peut-être aussi