Vous êtes sur la page 1sur 59

Les coupe-feu

Séances 6

Copyright Pearson Prentice Hall 2013


 Définir les coupe-feu en général (fonctionnement de base, architecture, le
problème de la surcharge).
 Décrire comment l’inspection statique de paquets fonctionne.
 Expliquer l’inspection dynamique de paquets pour les coupe-feu
interzones principaux.
 Décrire le fonctionnement de la traduction d’adresses de réseau.
 Expliquer les coupe-feu mandataires d’application et le filtrage de
contenu des coupe-feu d’inspection dynamique de paquets.
 Faire la distinction entre les systèmes de détection d’intrusion (SDI) et les
systèmes de prévention d’intrusion (SPI).
 Décrire le filtrage antivirus.
 Définir les architectures de pare-feu.
 Décrire la gestion du pare-feu (définir les politiques, politiques
d’implantation, lecture de fichiers journaux).
 Décrire certains problèmes complexes associés aux coupe-feu.

2
Copyright Pearson Prentice Hall 2013
Planifier Agir
Planification Menaces Gestion des
Voir Séance 1 incidents
Gouvernance Voir
(3071512) Exploitation
Concepts & Cadre de la sécurité Étude de Résultats
de règlementaire (3071912) cas et
réseautage (3070812) recomman
Séance 2 Séance 11 dations

Séance 12

Protéger
Cryptogra Sécurité Contrôle Pare-feu Système Sécurité Sécurité
phie des d’accès Séances d’opération applicative des
Séance 3 réseaux Séance 5 6 et 7 Séance 8 Séance 9 données
Séance 4 Séance 10
Internet

3
Copyright Pearson Prentice Hall 2013
Copyright Pearson Prentice Hall 2013
 Le chapitre 5 a couvert plusieurs techniques
de contrôle d’accès
 Le chapitre 6 couvre un outil additionnel pour
le contrôle d’accès : Le coupe-feu
 Les coupe-feu filtrent les paquets d’attaques
prouvables
 Les coupe-feu ne sont pas la solution à tous
vos problèmes de sécurité, mais ils sont
critiques pour la protection des entreprises

4
Copyright Pearson Prentice Hall 2013
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Coupe-feu mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
5 Copyright Pearson Prentice Hall 2013
1.
Hôtes légitimes envoient des paquets inoffensifs.
Les pirates envoient des paquets d'attaque.

2.
Ingress: Paquets entrant dans le site.
Egress: Paquets sortant du site.

6
Copyright Pearson Prentice Hall 2013
Le coupe-feu fournit une connectivité contrôlée.
Il laisse tomber "drop” les paquets d’attaques
prouvables et ceux-ci se retrouvent dans le journal
7 d’événements (log).
Copyright Pearson Prentice Hall 2013
Le coupe-feu ne laisse pas tomber les
paquets légitimes; seulement les
paquets d’attaques prouvables.
Cela signifie que si un paquet d’attaque
n’est pas prouvable, il passe à travers le
8 coupe-feu.
Copyright Pearson Prentice Hall 2013
 Le problème
◦ Si un coupe-feu ne peut filtrer tout le trafic, il laisse
tomber les paquets qu’il ne peut pas traiter
◦ Ce processus est sécuritaire puisqu’il empêche les
paquets d’attaque de passer à travers
◦ Par contre, cela créer une attaque par déni de
service auto-infligée en laissant tomber du trafic
légitime

9
Copyright Pearson Prentice Hall 2013
 Capacité du coupe-feu
◦ Les coupe-feu doivent pouvoir traiter le volume de
trafic entrant
◦ Certains peuvent traiter le trafic normal, mais ne
peuvent traiter le trafic durant les attaques
importantes
◦ Ils doivent pouvoir traiter le trafic entrant à la
vitesse du fil (débit), c’est-à-dire la vitesse
maximale des données qui entrent dans chaque
port

10
Copyright Pearson Prentice Hall 2013
 La puissance de traitement augmente
rapidement
◦ Puisque la puissance de traitement augmente, des méthodes
de filtrage plus sophistiquées devraient être possibles

◦ Nous pouvons même avoir une gestion unifiée des menaces


(UTM) dans laquelle un seul pare-feu peut utiliser plusieurs
formes de filtrage, y compris le filtrage antivirus et le filtrage
des pourriels (les pare-feux traditionnels ne font pas ce type
de filtrage de logiciels malveillants)

◦ Par contre, l’augmentation du trafic absorbe une grande partie


de cette augmentation de la puissance de traitement

11
Copyright Pearson Prentice Hall 2013
 Mécanismes de filtrage des coupe-feu
◦ Il y en a plusieurs types
◦ Nous nous concentrerons principalement sur l’une
des méthodes de filtrage de pare-feu les plus
importantes : l’inspection dynamique de paquets
(SPI) « stateful packet inspection »
◦ Un seul coupe-feu peut utiliser plusieurs
mécanismes de filtrage, mais il utilise plus
communément l’inspection dynamique de paquets
avec d’autres mécanismes de filtrage secondaires

12
Copyright Pearson Prentice Hall 2013
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Coupe-feu mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
13 Copyright Pearson Prentice Hall 2013
 Filtrage statique de paquets
◦ Premier mécanisme de filtrage des coupe-feu
◦ Limites
 Examine les paquets seulement un à la fois, en
isolation
 Regarde seulement quelques en-têtes des
couches transport (TCP) et Internet (IP)
 Par conséquent, il est incapable d’arrêter
plusieurs types d’attaques

14
Copyright Pearson Prentice Hall 2013
 Regarde seulement quelques en-têtes des couches
transport (TCP) et Internet (IP)
◦ Protocole
◦ Adresse source
◦ Adresse destination
◦ Port source (TCP/UDP) type (ICMP)
◦ Port destination (TCP/UDP) type (ICMP)
◦ Indicateurs (TCP SYN ACK, ...)
◦ Adresses physiques (MAC)

15
Copyright Pearson Prentice Hall 2013
 État du marché
◦ N’est plus utilisée en tant que mécanisme de
filtrage principal pour les coupe-feu interzones
◦ Peut être utilisée en tant que deuxième mécanisme
de filtrage dans les coupe-feu interzones
principaux

19
Copyright Pearson Prentice Hall 2013
 État du marché
◦ Peut aussi être implantée dans les routeurs
interzones qui se trouvent entre Internet et le
coupe-feu
 Stop les attaques simples à haut volume pour réduire la
charge du coupe-feu interzone principal

20
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Coupe-feu mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
21 Copyright Pearson Prentice Hall 2013
 Les connexions possèdent des phases ou des états
distincts
 Les différents états sont sujets à différentes attaques
 Les coupe-feu dynamiques utilisent différentes règles
de filtrage selon les différents états

État État de
État de
d’ouverture fermeture
communication en
de la de la
connexion
cours
connexion

22
Copyright Pearson Prentice Hall 2013
23
Copyright Pearson Prentice Hall 2013
24
Copyright Pearson Prentice Hall 2013
25
Copyright Pearson Prentice Hall 2013
26
Copyright Pearson Prentice Hall 2013
27
Copyright Pearson Prentice Hall 2013
28
Copyright Pearson Prentice Hall 2013
29
Copyright Pearson Prentice Hall 2013
 Faibles coûts
◦ La plupart des paquets ne sont pas des demandes
d’ouverture de session ( TCP )
◦ Ces derniers peuvent être traités très facilement, ce
qui est peu coûteux
◦ La tentative d’ouverture de connexion est un
procédé plus coûteux, mais aussi plus rare

33
Copyright Pearson Prentice Hall 2013
 Domination
◦ La combinaison de la sécurité élevée et des faibles
coûts rend les coupe-feu dynamiques extrêmement
populaires
◦ Aujourd’hui, presque tous les coupe-feu interzones
principaux utilisent l’inspection dynamique de
paquets

35
Copyright Pearson Prentice Hall 2013
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Coupe-feu mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
36 Copyright Pearson Prentice Hall 2013
 NAT/PAT Network and Port Address
Translation
 Les coupe-feu qui font du NAT intercepte le trafic sortant et
remplace les adresses IP source et les ports sources Interne
avec des adresses IP et des ports externe.

 Ils sont ensuite placés temporairement dans la table de


correspondance du coupe-feu

 Socket : La combinaison de l’adresse IP et du numéro de port


◦ Ex: Interne 192.168.5.7:3333

◦ Ex: Externe 60.5.9.8:444

37
Copyright Pearson Prentice-Hall 2010
38
Copyright Pearson Prentice Hall 2013
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Coupe-feu mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
39 Copyright Pearson Prentice Hall 2013
40
Copyright Pearson Prentice Hall 2013
41
Copyright Pearson Prentice Hall 2013
Tor
Tor Node 1
directory
server Tor Node 2
Tor Node 8
1. List of 3. Unencrypted link at
Tor nodes exit node
Tor Node 3

2. Encrypted
path

Tor Node 7
User Tor Node 4 Webserver

Tor Node 6
Tor Node 5

44
Copyright Pearson Prentice Hall 2013
Tor directory
Tor Node 1
server
Tor Node 2
Tor Node 8
1. List of
Tor nodes
2. Alternate Tor Node 3
path

Tor Node 7
User Tor Node 4 Webserver

3. Unencrypted link at
Tor Node 6 exit node
Tor Node 5

45
Copyright Pearson Prentice Hall 2013
 Protections pour les clients internes contre les
serveurs Web malveillants
◦ Listes noires d’URL pour des sites d’attaque connus
◦ Protection contre certains types ou contre tous les scripts
de pages Web
◦ Le refus de messages de réponse HTTP avec des types de
MIME qui indiquent la présence de logiciels malveillants(ex:
.exe )

 Protections contre les clients internes qui ont une


mauvaise conduite
◦ Refuser la méthode HTTP POST qui peut être
utilisée pour envoyer de l’information sensible à
l’extérieur
46
Copyright Pearson Prentice Hall 2013
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Coupe-feu mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
49 Copyright Pearson Prentice Hall 2013
 Systèmes de détection d’intrusion (IDS)
◦ Les coupe-feu bloquent les paquets d’attaque
prouvables seulement
◦ Les systèmes de détection d’intrusion cherchent du
trafic suspect
 Ils ne peuvent pas bloquer si un paquet est simplement
suspect

◦ Envoient un message d’alarme si l’attaque semble


être sérieuse

51
Copyright Pearson Prentice Hall 2013
 Systèmes de détection d’intrusion (IDS)
◦ Problème : Trop de faux positifs (fausses alarmes)
 Les alarmes sont ignorées ou le système est
arrêté
 Peut réduire les faux positifs en réglant les IDS
 Éliminer les règles non applicables comme une règle
Unix dans une entreprise qui utilise seulement
Windows
 Réduire le nombre de règles qui peuvent générer des
alarmes
 La plupart des alarmes seront tout de même fausses
 ( surtout lors d’un port scan )
52
Copyright Pearson Prentice Hall 2013
 Systèmes de détection d’intrusion (IDS)
◦ Problème : Exigences de traitement lourdes à cause
du filtrage sophistiqué
 Inspection détaillées des paquets
 Vérifie le contenu applicatif et les en-têtes de la couche
transport et Internet
 Analyse de flux de paquets
 Recherche de séquence répétitive (pattern) dans une
série de paquets
 Souvent, les séquences répétitives (pattern) ne peuvent
être vues sauf si plusieurs paquets sont examinés

53
Copyright Pearson Prentice Hall 2013
 Systèmes de prévention d’intrusion (IPS)
◦ Utilisent les mécanismes de filtrage des IDS
◦ Les circuits intégrés à application spécifique
fournissent la puissance de traitement nécessaire
(ASICs Application-Specific Integrated Circuits)
◦ IPS Inline

54
Copyright Pearson Prentice Hall 2013
 Systèmes de prévention d’intrusion (IPS)
◦ Spectre d’identification du niveau de confiance d’une
attaque
 Assez probable
 Très probable
 Prouvable

◦ Une firme peut autoriser son coupe-feu à stopper le trafic


lorsque le niveau de confiance d’une attaque est prouvable

◦ La firme décide quelles attaques elle veut stopper

◦ Cela lui permet de gérer ses risques

55
Copyright Pearson Prentice Hall 2013
 Actions possibles
◦ Laisser tomber les paquets
 Risqué pour le trafic suspect, même avec un haut
niveau de confiance
◦ Limiter la bande passante pour certains types de
trafic
 Limite tout le trafic à un certain pourcentage
 Moins risqué que de laisser tomber des paquets
 Utile lorsque le niveau de confiance est plus bas
56
Copyright Pearson Prentice Hall 2013
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Coupe-feu mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
57 Copyright Pearson Prentice Hall 2013
 Les coupe-feu traditionnels ne font pas le filtrage antivirus
 Les fichiers nécessitant le filtrage sont passés au serveur
antivirus (AV)

58
Copyright Pearson Prentice Hall 2013
 Les coupe-feu à gestion unifiée des menaces (UTM)
vont plus loin que le filtrage par coupe-feu
traditionnel
◦ Inspection dynamique de paquets (SPI)
◦ Filtrage antivirus
◦ Réseau privé virtuel (VPN)
◦ Protection contre le déni de service (DoS)
◦ Traduction d’adresse réseau (NAT)
◦ QOS
59
Copyright Pearson Prentice Hall 2013
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Coupe-feu mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
65 Copyright Pearson Prentice Hall 2013
Une entreprise a plusieurs coupe-feu:
Routeurs frontaliers de dépistage
Coupe-feu principaux à l’entrée
Coupe-feu internes
66 Coupe-feu sur les hôtes des clients et des serveurs
L'architecture des coupe-feu décrit comment ses coupe-feu fonctionnent ensemble
 Les DMZ utilisent des Réseau Routeur
coupe-feu principaux interne àinterzone
avec interfaces multiples
◦ Un sous-réseau vers le routeur DMZ
interzone
◦ Un sous-réseau vers le DMZ (accessible au monde
extérieur)
◦ Un sous-réseau vers le réseau interne
 L’accès à Internet à partir du sous-réseau interne est
fortement contrôlé
 L’accès à la DMZ à partir du sous-réseau interne est
aussi fortement contrôlé
67
Copyright Pearson Prentice Hall 2013
 Zone démilitarisée (DMZ)
◦ Le sous-réseau pour les serveurs et les coupe-feu
mandataires d’application est accessible par
Internet
◦ Les hôtes de la DMZ doivent être spécialement
endurcis puisque les attaquants y auront accès sur
Internet

68
Copyright Pearson Prentice Hall 2013
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Coupe-feu mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
70 Copyright Pearson Prentice Hall 2013
 Matière vue dans le cadre du cours
Exploitation de la sécurité (30-719-12)

71
Copyright Pearson Prentice Hall 2013
6.1 Introduction
6.2 Filtrage statique de paquets
6.3 Inspection dynamique de paquets (SPI)
6.4 Traduction d’adresse réseau (NAT)
6.5 Pare-feux mandataires d’application
6.6 Systèmes de détection d’intrusion (IDS)
6.7 Filtrage antivirus et gestion unifiée des menaces
6.8 Architectures de coupe-feu
6.9 Gestion du coupe-feu
6.10 Problèmes de filtrage du coupe-feu
72 Copyright Pearson Prentice Hall 2013
 La protection du périmètre n’est plus possible
◦ Il y a trop de façon de passer à travers le périmètre

 Éviter le coupe-feu à la frontière


◦ Les attaquants internes sont déjà à l’intérieur du coupe-
feu
◦ Les hôtes internes compromis sont à l’intérieur du
coupe-feu
◦ Les pirates furtifs de réseaux locaux sans-fil (WLAN)
pénètrent par des points d’accès qui se trouvent à
l’intérieur du site
◦ Ordinateurs portables de maison, téléphones cellulaires
et autres médias sont apportés dans le site
◦ Les coupe-feu internes peuvent gérer certaines de ces
menaces
73
Copyright Pearson Prentice Hall 2013
 Étendre le périmètre
◦ Les employés qui travaillent à distance doivent y
avoir accès
◦ Les consultants, les sous-traitants, les clients, les
fournisseurs et les autres filiales doivent y avoir
accès
◦ Essentiellement, ceux-ci ont tous tendance à
utiliser des VPN pour que les parties externes
deviennent internes dans leur site
 VPN LAN-to-LAN
 VPN Host-to-LAN

74
Copyright Pearson Prentice Hall 2013
 La plupart des méthodes de filtrage utilisent
la détection de signature d’attaque
◦ Chaque attaque possède une signature

◦ La signature de cette attaque est découverte

◦ La signature d’attaque est ajoutée au coupe-feu

◦ Par contre, les attaques du jour zéro sont sans


avertissement. Elles se produisent avant qu’une
signature ait été créée

◦ La défense par signature ne peut stopper les attaques du


jour zéro
75
Copyright Pearson Prentice Hall 2013
 Détection d’anomalies
◦ Détecte une tendance anormale qui indique une
attaque possible
◦ Cette méthode est difficile, il y a donc beaucoup de
faux positifs
◦ Moins de temps nécessaire pour définir les
signatures
◦ La détection d’anomalies est nécessaire pour les
pour les coupe-feu d’aujourd’hui

76
Copyright Pearson Prentice Hall 2013
Copyright © 2013 Pearson Education, Inc.
Publishing as Prentice Hall

Vous aimerez peut-être aussi