S2 - Architecture Sécurisée Des Réseaux

Sécurité des réseaux
M. Jean DIOKH
Certifié Linux Professional Institute ( LPIC-3 Core & LPIC-3 Security )
http://www.lpi.org/verify/LPI000201968/9ntq6grjtk
Sécurité
Architecture sécurisée des réseaux
Contrôle d’accès au réseau : port-security
Liste de contrôle d’accès (ACLs)
Translation d’adresses (NAT, PAT)
Les pare feux : ASA, Iptables, PortSentry, Fail2Ban
Sécurité des réseaux - M. DIOKH 2

Sécurité

Sécurité
Réseau de départ

Sécurité
Architecture avec un pare feu

Sécurité
Architecture avec un pare feu et un sonde

Sécurité
Architecture avec la gestion de panne: deux pare feux

Sécurité
Architecture avec la gestion des contextes
Trafic autorisé

Sécurité
Architecture avec la gestion des contextes
Trafic bloqué

Sécurité
Architecture petite entreprise

Sécurité
Architecture petite entreprise

Sécurité
Architecture entreprise avec plusieurs sites

Sécurité
Sécurité des réseaux - M. DIOKH

Sécurité
Qu’est ce qu’une liste de contrôle d’accès

Sécurité
Objectifs liste de contrôle d’accès
▪ Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès
à un réseau en analysant les paquets entrants et sortants et en les transmettant ou
en rejetant selon des critères spécifiques, tels que l'adresse IP source, les adresses
IP de destination et le protocole transporté dans le paquet.
▪ Un routeur filtre les paquets lors de leur transmission ou de leur refus
conformément aux règles de filtrage.
▪ Une liste de contrôle d'accès est un ensemble séquentiel d'instructions
d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE).

Sécurité
Objectifs liste de contrôle d’accès

Sécurité
Fonctionnement des listes de contrôle d’accès

Sécurité
Fonctionnement des listes de contrôle d’accès
La dernière instruction d'une liste de contrôle d'accès est toujours implicit deny.
Cette instruction est automatiquement ajoutée à la fin de chaque liste de contrôle

d'accès, même si elle n'est pas physiquement présente.
L'instruction implicit deny bloque l'ensemble du trafic.
En raison de ce refus implicite, une liste de contrôle d'accès qui n'a pas au moins une
instruction d'autorisation bloquera tout le trafic.

Sécurité
Les types de listes de contrôle d’accès
Listes de contrôle d'accès standard
Listes de contrôle d'accès étendues

Sécurité
Numérotation et nom des listes de contrôle d'accès

Sécurité
Masques génériques
Les masques génériques et les masques de sous-réseau diffèrent dans leur méthode
de mise en correspondance des 1 et des 0 binaires.
Les masques génériques respectent les règles suivantes pour faire correspondre les
chiffres binaires 1 et 0 :
▪ Bit 0 de masque générique : permet de vérifier la valeur du bit correspondant dans
l'adresse.
▪ Bit 1 de masque générique : permet d'ignorer la valeur du bit correspondant dans
l'adresse.
Les masques génériques sont souvent appelés masques inverses. En effet,

contrairement à un masque de sous-réseau, où le chiffre binaire 1 équivaut à une
correspondance et le chiffre binaire 0 à une non-correspondance, les masques
génériques procèdent de façon inverse.

Sécurité
Exemple de masques génériques

Sécurité
Application de listes de contrôle d’accès standard

Sécurité
Vérification de listes de contrôle d’accès standard

Sécurité
Création de listes de contrôle d’accès nommées

Sécurité
Exemple de listes de contrôle d’accès nommées

Sécurité
Exemple de listes de contrôle d’accès nommées

Sécurité
listes de contrôle d’accès étendues

Sécurité
listes de contrôle d’accès étendues

Sécurité
Applications des listes de contrôle d’accès étendues

Sécurité
Applications des listes de contrôle d’accès étendues nommées

Sécurité
Vérification des listes de contrôle d’accès étendues nommées

Sécurité

Sécurité
Adressage IPv4
L'espace d'adressage IPv4 est trop restreint pour accommoder tous les périphériques
à connecter à Internet
Les adresses privées des réseaux sont décrites dans la RFC 1918 et sont conçues pour
être utilisées dans une organisation ou un site uniquement.
Elles ne sont pas routées par les routeurs Internet, contrairement aux adresses
publiques.
Elles peuvent pallier la pénurie d'adresses IPv4, mais comme elles ne sont pas routées
par les périphériques Internet, elles doivent d'abord être traduites.
C'est le rôle de la fonction NAT.

Sécurité
Adressage IPv4

Sécurité
Qu’est ce que le NAT
La NAT est le procédé utilisé pour traduire les adresses réseau.

Sa fonction première est d'économiser les adresses IPv4 publiques.
Elle est généralement mise en œuvre sur les périphériques réseau situés à la
périphérie, tels que les pare-feu ou les routeurs.
Ainsi, les réseaux peuvent utiliser des adresses privées en interne, et les traduire en
adresses publiques uniquement lorsque c'est nécessaire.
Les équipements de l'entreprise peuvent recevoir des adresses privées et fonctionner
avec des adresses uniques en local.
Lorsque les données doivent être échangées avec d'autres organisations ou Internet,
le routeur de périphérie traduit les adresses en adresses publiques et globalement
uniques.

Sécurité
Qu’est ce que le NAT

Sécurité
Terminologie du NAT
Dans la terminologie NAT, le réseau interne est l'ensemble des périphériques qui
utilisent des adresses privées. Les réseaux externes sont tous les autres réseaux.
La NAT inclut 4 types d'adresse :
Adresse locale interne
Adresse globale interne
Adresse locale externe
Adresse globale externe

Sécurité
Terminologie du NAT
Dans la terminologie NAT, le réseau interne est l'ensemble des périphériques qui
utilisent des adresses privées. Les réseaux externes sont tous les autres réseaux.
La NAT inclut 4 types d'adresse :
Adresse locale interne
Adresse globale interne
Adresse locale externe
Adresse globale externe

Sécurité
Fonctionnement du NAT

Sécurité
NAT Statique
La fonction NAT statique utilise un mappage « un à un » entre les adresses locales et

globales.
Ces mappages sont configurés par l'administrateur réseau et ne changent pas.
La fonction NAT statique est particulièrement utile lorsque les serveurs hébergés dans
le réseau interne doivent être accessibles depuis le réseau externe.
L'administrateur réseau peut établir une connexion SSH vers un serveur du réseau
interne en faisant pointer son client SSH sur l'adresse globale interne appropriée.

Sécurité
NAT Statique

Sécurité
Configuration NAT Statique

Sécurité
Configuration NAT Statique

Sécurité
NAT Dynamique
▪ La NAT dynamique utilise un pool d'adresses publiques et les attribue selon la

méthode du premier arrivé, premier servi.
▪ Lorsqu'un périphérique interne demande l'accès à un réseau externe, la NAT
dynamique attribue une adresse IPv4 publique disponible du pool.
▪ Il doit y avoir suffisamment d'adresses publiques disponibles pour le nombre total
de sessions utilisateur simultanées.

Sécurité
NAT Dynamique

Sécurité
Configuration NAT Dynamique

Sécurité
PAT
▪ La fonction PAT mappe les adresses IPv4 privées à des adresses IP publiques uniques
ou à quelques adresses.
▪ Elle utilise la paire port source/adresse IP source pour garder une trace du trafic de
chaque client interne.
▪ La PAT est également appelée surcharge NAT.
▪ Comme elle utilise également le numéro de port, elle peut transférer les paquets de
réponse au périphérique interne approprié.
▪ Elle vérifie aussi que les paquets entrants étaient demandés, ce qui ajoute un
niveau de sécurité à la session.

Sécurité
Configuration PAT avec pool d’adresses

Sécurité
Configuration PAT avec une adresse unique

Sécurité

Sécurité
Les pare feux :

ASA
Iptables: sous Linux (man iptables)
PortSentry: https://wiki.debian-fr.xyz/Portsentry
Fail2Ban: https://www.fail2ban.org

Sécurité
TP: Packer Tracer pour le ASA
TP sous Linux pour Iptables, PortSentry, Fail2ban

S2 - Architecture Sécurisée Des Réseaux

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

S2 - Architecture Sécurisée Des Réseaux

Transféré par

Droits d'auteur :

Formats disponibles

Sécurité des réseaux

Architecture sécurisée des réseaux

Contrôle d’accès au réseau : port-security

Liste de contrôle d’accès (ACLs)

Translation d’adresses (NAT, PAT)

Les pare feux : ASA, Iptables, PortSentry, Fail2Ban

Sécurité des réseaux - M. DIOKH 2

Architecture sécurisée des réseaux

Sécurité des réseaux - M. DIOKH 3

Sécurité des réseaux - M. DIOKH 4

Architecture avec un pare feu

Sécurité des réseaux - M. DIOKH 5

Architecture avec un pare feu et un sonde

Sécurité des réseaux - M. DIOKH 6

Architecture avec la gestion de panne: deux pare feux

Sécurité des réseaux - M. DIOKH 7

Architecture avec la gestion des contextes

Sécurité des réseaux - M. DIOKH 8

Architecture avec la gestion des contextes

Sécurité des réseaux - M. DIOKH 9

Architecture petite entreprise

Sécurité des réseaux - M. DIOKH 10

Architecture petite entreprise

Sécurité des réseaux - M. DIOKH 11

Architecture entreprise avec plusieurs sites

Sécurité des réseaux - M. DIOKH 12

Liste de contrôle d’accès (ACLs)

Sécurité des réseaux - M. DIOKH

Qu’est ce qu’une liste de contrôle d’accès

Sécurité des réseaux - M. DIOKH

Objectifs liste de contrôle d’accès

Sécurité des réseaux - M. DIOKH

Objectifs liste de contrôle d’accès

Sécurité des réseaux - M. DIOKH

Fonctionnement des listes de contrôle d’accès

Sécurité des réseaux - M. DIOKH

Fonctionnement des listes de contrôle d’accès

Cette instruction est automatiquement ajoutée à la fin de chaque liste de contrôle

L'instruction implicit deny bloque l'ensemble du trafic.

Sécurité des réseaux - M. DIOKH

Les types de listes de contrôle d’accès

Listes de contrôle d'accès standard

Listes de contrôle d'accès étendues

Sécurité des réseaux - M. DIOKH

Numérotation et nom des listes de contrôle d'accès

Sécurité des réseaux - M. DIOKH

Les masques génériques sont souvent appelés masques inverses. En effet,

Sécurité des réseaux - M. DIOKH

Exemple de masques génériques

Sécurité des réseaux - M. DIOKH

Application de listes de contrôle d’accès standard

Sécurité des réseaux - M. DIOKH

Vérification de listes de contrôle d’accès standard

Sécurité des réseaux - M. DIOKH

Création de listes de contrôle d’accès nommées

Sécurité des réseaux - M. DIOKH

Exemple de listes de contrôle d’accès nommées

Sécurité des réseaux - M. DIOKH

Exemple de listes de contrôle d’accès nommées

Sécurité des réseaux - M. DIOKH

listes de contrôle d’accès étendues

Sécurité des réseaux - M. DIOKH

listes de contrôle d’accès étendues

Sécurité des réseaux - M. DIOKH