Sécurité des réseaux

Dr. Hadda Ben Elhadj Année Universitaire 2021-2022

Introduction à la sécurité des
réseaux

2
Introduction

Internet n’a pas été conçu avec un objectif de

sécurité:
–Internet est basé sur la confiance

–Chaque niveau traversé par vos données offre des moyens

d’attaques

Les réseaux peuvent être vulnérables:

➢ Par une mauvaise implémentation des piles udp/ip et tcp/ip.
➢ Par des faiblesses des protocoles 3
Introduction

Plusieurs types et sources d’attaques:

• Au niveau physique et liaison
• Au niveau réseau (IP)
• Au niveau transport (TCP)
4
• Attaque au niveau des services
Définitions
⚫ Nœud malicieux:
Unité malveillante (écoute puis attaque)

⚫ Attaquant actif-n-m:
Attaquant qui possède m nœuds malicieux et qui
compromis n nœuds

⚫ Attaques externes :
Attaques lancées par un nœud qui n’appartient pas au
réseau ou bien qui n’est pas autorisé à y accéder

5
 Sécurité informatique
Le système d'information est généralement défini par l'ensemble des
données et des ressources matérielles et logicielles de l'entreprise
permettant de les stocker ou de les faire circuler. Le système
d'information représente un patrimoine essentiel de l'entreprise, qu'il
convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer
que les ressources matérielles ou logicielles d'une organisation sont
uniquement utilisées dans le cadre prévu.

6
 Sécurité d'un réseau
La sécurité d'un réseau est un niveau de garantie que l'ensemble des
machines du réseau fonctionnent de façon optimale et que les
utilisateurs desdites machines possèdent uniquement les droits qui leur
ont été octroyés.
Il peut s'agir :
– d'empêcher des personnes non autorisées d'agir sur le système de
façon malveillante
– d'empêcher les utilisateurs d'effectuer des opérations involontaires
capables de nuire au système
– de sécuriser les données en prévoyant les pannes
– de garantir la non-interruption d'un service

7
 Terminologie de la sécurité
informatique
La sécurité informatique utilise un vocabulaire bien défini que nous
utilisons dans nos articles. De manière à bien comprendre ces articles,
il est nécessaire de définir certains termes :
Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs
systèmes. Tout système vu dans sa globalité présente des
vulnérabilités, qui peuvent être exploitables ou non.
Les attaques (exploits): elles représentent les moyens d'exploiter une
vulnérabilité. Il peut y avoir plusieurs attaques pour une même
vulnérabilité mais toutes les vulnérabilités ne sont pas exploitables.
Les contre-mesures : ce sont les procédures ou techniques permettant
de résoudre une vulnérabilité ou de contrer une attaque spécifique
(auquel cas il peut exister d'autres attaques sur la même vulnérabilité).
Les menaces : ce sont des adversaires déterminés capables de monter
une attaque exploitant une vulnérabilité.

8
 Types d'attaques
• Les attaques peuvent à première vue être classées en 2
grandes catégories :
• les attaques passives : consistent à écouter sans modifier les
données ou le fonctionnement du réseau. Elles sont généralement
indétectables mais une prévention est possible.
• les attaques actives : consistent à modifier des données ou des
messages, à s'introduire dans des équipements réseau ou à perturber
le bon fonctionnement de ce réseau. Noter qu'une attaque active peut
être exécutée sans la capacité d'écoute. De plus, il n'y a généralement
pas de prévention possible pour ces attaques, bien qu'elles soient
détectables (permettant ainsi une réponse adéquate).
•

9
 Types d'attaques
Les intrus peuvent accéder à un réseau en profitant de vulnérabilités
logicielles, au moyen d'attaques matérielles ou même par des
méthodes plus rudimentaires, comme deviner le nom et le mot de
passe d'un utilisateur. Les intrus qui modifient le logiciel ou tirent profit
de vulnérabilités logicielles pour accéder au réseau sont souvent
appelés des pirates informatiques.

Une fois que le pirate a accédé au réseau, quatre types de menaces

sont possibles :
Vol d'informations
Usurpation d'identité
Perte/manipulation de données
Interruption de service

10
Types d'attaques

11
Types d’attaques réseaux
Ecoute des connexions (sniffing) : interception des messages et/ou mot
de passe par des renifleurs, identification des services du réseaux, des
machines qui communiquent, des comportements, etc.

– Sur réseau en bus, utilisant du câble coaxial

Sur réseau Wi-Fi ! Interception de mots de passes, de correspondances
privées
Lutte
– Eviter la capture de mot de passe

– Eviter l’authentification et les données en clair

– Utiliser le cryptage sur les couches basses (SSL,IPSEC)

– Utiliser l’encapsulation applicative tunneling SSH, stunnel

– Utiliser des mots de passe à utilisation unique 12

Types d’attaques réseaux
Mystification (spoofing) : prendre l’identité d’une autre
personne/machine, DNS, routeur, machine sécurisée, etc.
– Ipspoofing
– ARPspoofing
Lutte contre le spoofing:
– Ne pas se limiter à des ACL basés sur les @IP

– Implanter des règles strictes sur les routeurs

– Associer les @MAC avec les @IP pour les machines critiques

– Sonde de monitoring des couples (@MAC,@IP)

• Détection des cas de divergences avec la conformité et des trames

ARP anormales

• Alerte + Engagement des contres mesures (détection, analyse,

13
blocage)
Types d’attaques réseaux
Attaques ARP
ARP-RARP: lien entre @MAC et @ IP
ARP maintient un cache des machines qui diffusent sur le réseau
But des attaques ARP:
– Détourner le traffic réseau vers sa machine.
– En particulier, remplacer le couple (@MAC/@IP) du routeur par sa
propre machine
– Déni de service
Moyen:
– Poisoning: créer de fausses entrées dans les caches
– ARP–Flooding: Saturer les tables ARP
– Cloning: imiter l’adresse MAC d’une autre machine
– Spoofing: Forger de fausses réponses ARP
14
Types d’attaques réseaux
• ARP Poisonning par diffusion

15
Types d’attaques réseaux
ARP Poisonning par requête

16
 Attaques réseaux
Attaques ICMP
– Le protocole ICMP (Internet Control Message Protocol) est utilisé par
tous les routeurs
– Il est utilisé pour signaler une erreur sur une machine connectée
ICMP Flooding
But du ICMP Flooding
– Rendre un ou plusieurs services inaccessible
– Rendre un réseau totalement inaccessible
Moyen
inonde la machine cible de requêtes ping.
Conséquences
– La machine cible passe tout son temps à répondre à des requêtes
ICMP
– Surcharge machine et du réseau
– DENI DE SERVICE (D.O.S.) 17
Attaques réseaux

18
 Attaques réseaux
Attaques ICMP
Attaque Unreachable Host Attack
Cette attaque envoie des messages ICMP "Host Unreachable" à une
victime, provoquant la déconnexion des sessions et la paralysie de la
victime, même si elles sont envoyées à faible cadence.
L'attaque "Pong" : est aussi connue sous le nom ‘’Echo Reply Without
Request" ou "ICMP echo reply attack". Elle consiste à envoyer à
l'ordinateur victime le résultat d'un Ping (autrement dit, un Pong), alors que
la victime n'a pas envoyé de Ping.
→Détermination de l'architecture réseau derrière un firewall
Si un routeur reçoit un pong à destination d'un ordinateur qui n'existe pas, il renverra
un message "ordinateur inexistant’’ à l'envoyeur. L'attaquant pourra donc déterminer
le nombre de machines derrière le firewall, et plus encore, il aura les adresses IP de
ces ordinateurs. 19
 Attaques réseaux
Attaques TCP
TCP, est un protocole de transport fiable, en mode connecté
Une session TCP fonctionne en trois phases :
– l'établissement de la connexion ;
– les transferts de données ;
– la fin de la connexion.

Établissement de connexion 20
 Attaques réseaux
Attaques TCP
SYN Attack
Cette attaque exploite les échanges de paquets utilisés lors de l'ouverture de
sessions TCP. L'attaquant envoie un grand nombre de demandes d'ouvertures
TCP (Flag SYN positionné) à la victime. Cette dernière acquitte les demandes
en répondant par des messages TCP avec les flags SYN et ACK positionnés,
puis attend indéfiniment l'acquittement qui n'est jamais renvoyé. Au bout d'un
temps très court la victime est asphyxiée par le grand nombre de sessions
ouvertes et en attente d'acquittement.
→Tous les services TCP deviennent indisponibles
ConnectionReset : Forcer la déconnexion entre deux machines.
Forger une fausse trame TCP avec le flag RST et une bonne valeur de numéro
de séquence

21
Attaques réseaux

Attaques TCP
Land Attack
Cette attaque essaie de rendre "fou" la victime en lui envoyant des
paquets TCP comportant une adresse source IP et un numéro de port
identiques à ceux de la victime. Le host attaqué pense alors qu'il parle à lui
même ce qui généralement provoque un crash.

22
Attaques réseaux
Attaques UDP
UDP, est un protocole de transport, en mode non connecté.
Ce protocole est très simple étant donné qu'il ne fournit pas de contrôle
d'erreurs
Attaque UDP 0
Consiste à envoyer une trame UDP vers le port zéro d'un ordinateur
distant. L'ordinateur cible peut alors planter. Si celui-ci est derrière un
firewall, le firewall peut éventuellement planter.
UDP Flooding
L’ attaquant envoie un grand nombre de requêtes UDP sur une machine.
Le trafic UDP étant prioritaire sur le trafic TCP, ce type d'attaque peut vite
troubler et saturer le trafic transitant sur le réseau.

23
Conseils pour optimiser sa sécurité
1. Inciter ou obliger les employés à choisir des mots de passe qui ne
soient pas évidents à trouver.
2. Exiger des employés qu'ils changent leurs mots de passe tous les 90
jours.
3. Vérifier que l'abonnement à la protection antivirus est à jour.
4. Sensibiliser les employés aux risques relatifs à la sécurité des pièces
jointes aux messages électroniques.
5. Mettre en œuvre une solution de sécurité du réseau complète et
adéquate.
6. Evaluer régulièrement l'infrastructure de sécurité.
7. Supprimer immédiatement les droits d'accès au réseau d'un employé
quittant la société.
8. Si des employés sont autorisés à travailler à distance, mettre en place
un serveur sécurisé et géré de façon centralisée pour le trafic distant.
9. Mettre à jour régulièrement le logiciel du serveur Web.
24
10. Ne pas exécuter de services de réseau superflus.
Comment se protéger ?
Un Anti-virus : un logiciel qui protège vos ordinateurs de la destruction
d'informations pouvant être causée, par exemple, par un virus envoyé
dans un e-mail.
Un Firewall : un équipement matériel ou logiciel qui protège contre les
accès non autorisés venant de l'extérieur.
Un Réseau Privé Virtuel (VPN) : il sécurise vos communications et
vos échanges d’informations entre vos différents sites (siège social,
succursales, employés itinérants ou mobiles ...).
Un Détecteur d’intrusion : un équipement matériel ou logiciel qui
empêche les tentatives de vol de vos informations (Bases de données
Clients, comptabilité, etc.), qu'elles viennent de l'extérieur ou de
l'intérieur.
Authentification : vérifier la véracité des utilisateurs, du réseau et des
documents.
Contrôles d’accès aux ressources (physiquement aussi).
25
Comment se protéger ?
Éléments techniques
Réseaux interne / externe
Adresses privées / publiques
Routeurs, passerelles, filtrage...
Serveurs, Postes-clients, « Bastions
»,...
Proxy (mandataire, relais)
Tunnels, réseaux privés virtuels (VPN)
... 26
Comment se protéger ?

Isolation du réseau interne

Découpage du réseau interne en 2 zones isolées
– Serveurs accessibles de l'extérieur, situés en « zone démilitarisée »
– Postes clients inaccessibles de l'extérieur

27
Architecture à « DMZ »

zone démilitarisée :
une zone démilitarisée (ou DMZ, de l'anglais demilitarized zone) est
un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet (ou
d'un autre réseau) par un pare-feu.

Ce sous-réseau contient les machines étant susceptibles d'être accédées

depuis Internet.
Le pare-feu bloquera donc les accès au réseau local pour garantir sa
sécurité. Et les services susceptibles d'être accédés depuis Internet seront
situés en DMZ.

28
 Réseau Virtuel Privé
Un VPN (Virtual Private Network ou réseau virtuel privé) est un
moyen de simuler un réseau privé sur un réseau public comme
Internet.
Un VPN crée des connexions temporaires ou tunnels entre 2
machines, ou une machine et un réseau, ou 2 réseaux.
Protection du transfert de données

29
 VPN Cisco à accès distant
▪ Le VPN est une solution sécurisée pour assurer les connexions accès
distant à moindre coût.
▪ En effet, ils permettent aux entreprises d’utiliser Internet via des
fournisseurs d’accès pour favoriser l’échange d’informations d’une manière
sécurisée entre des PC distants et le siège de l’entreprise.
▪ Le déploiement d’une solution VPN évite des connexions téléphoniques
point à point coûteuses.
▪ Le VPN est une solution idéale pour offrir aux personnes en déplacement,
aux travailleurs distants ou effectuant des heures supplémentaires de
bénéficier d’une connectivité sécurisée et haut débit via le câble et les lignes
DSL.

Concentrateur VPN Cisco série 3000 30

 Détection d’intrusion
La détection d’intrusion équivaut aux caméras et aux gardiens dans un
immeuble. Les caméras vérifient que les personnes rentrées à l’aide de
clef n'aillent pas dans des zones interdites. Les gardiens les neutralisent
en cas d’écart.

31
Systèmes de Détection d'intrusion
sécurisé Cisco
Cisco propose deux systèmes de détection d’intrusion complémentaires :

- Les HIDS (Host Intrusion Detection Systems). Ces sondes host-based

s’insèrent entre les applications et le cœur du système d’exploitation pour
protéger des applications ou des serveurs critiques. Le host sensor Cisco
permet de détecter des attaques connues, mais également protège
d’attaques non encore connues en empêchant un appel malicieux (non
autorisé) au système d’exploitation, offrant ainsi une prévention contre les
attaques futures.
- Les NIDS (Network Intrusion Detection Systems). Ces sondes réseau en
temps réel peuvent être déployées dans de nombreux environnements
réseau sensibles, des institutions financières majeures aux
environnements militaires secret défense.

32
 Authentification
Identification : déclaration d’une identité par une entité
– Exemple : entrée du login

Authentification d’entité : processus de vérification d’une identité

Vérifier qu’un utilisateur est bien la personne qu’il prétend être
– Exemple : vérification du mot de passe entré
– Pré-requis pour le contrôle d’accès
– Fonctionnalités associées à l’authentification
– Gestion des identités : ajouter de nouvelles identités, éliminer, invalider
– Assurer l’intégrité des informations d’authentification
– Permettre à des utilisateurs autorisés de contrôler les informations
nécessaires pour vérifier l’identité d’utilisateurs
– Limiter la possibilité d’essais répétés d’établissement d’une fausse Identité
– Réutilisation de l’authentification (authentification unique, single-sign-on)

33
 Contrôle d’accès
Fonction permettant de garantir que les utilisateurs (et les processus
qui agissent pour le compte de ceux-ci) ne peuvent accéder aux
informations et aux ressources auxquelles ils ne sont pas autorisés à
accéder
• exigences concernant la création ou la modification (y compris
la suppression) non autorisées d’informations
Fonctionnalités associées au contrôle d’accès
– fonctions servant à établir et entretenir les listes et règles qui
régissent
– les droits d’effectuer différents types d’accès
– fonctions d’administration (l’octroi ou le retrait) des droits d’accès et
leur vérification
– fonctions destinées à contrôler les flux d’informations entre
utilisateurs,
– processus --> Contrôle de flux
34
 Contrôle d’accès
Les serveurs de contrôle d'accès fonctionnent comme un badge
permettant d'accéder à une pièce, le gardien qui supervise la sécurité du
site fournissant l'autorisation, l'authentification et la comptabilisation du
trafic et des utilisateurs.

35
Conclusion

La sécurité réseau a des aspects techniques,

Mais La clé du succès est dans

– La définition d'une politique acceptée (compromis entre
besoins des utilisateurs et moyens qu'il est possible de
mettre en oeuvre)

– L'organisation

36
 Chapitre :

FIREWALL

37
 Plan
Définitions
Fonctionnement
Filtrage des paquets
Architecture de Firewall
Limites d’un firewall
Produits
Conclusion
38
 Pare-feu (Firewall)
Un pare-feu joue un rôle de douanier vis-à-vis des ports. Il contrôle les
flux de données entrant et sortant de l’ordinateur ou du réseau de
l’entreprise. Il est très fréquent qu’un logiciel professionnel ait besoin
d’accéder a un serveur extérieur a l’entreprise pour effectuer des mises a
jour. Il lui faut alors communiquer par un canal spécifique (port de
communication), a la fois pour émettre des données (port sortant) mais
aussi pour en recevoir (port entrant).

39
 Définition
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en
anglais), est un système permettant de protéger un ordinateur ou un
réseau d'ordinateurs des intrusions provenant d'un réseau tiers
(notamment internet). Le pare-feu est un système permettant de filtrer
les paquets de données échangés avec le réseau, il s'agit ainsi d'une
passerelle filtrante comportant au minimum les interfaces réseau
suivante : une interface pour le réseau à protéger (réseau interne) ; une
interface pour le réseau externe.

40
 Fonctionnement d'un système
pare-feu
Un système pare-feu contient un ensemble de règles prédéfinies
permettant :
– D'autoriser la connexion (allow) ;
– De bloquer la connexion (deny) ;
– De rejeter la demande de connexion sans avertir l'émetteur (drop).
L'ensemble de ces règles permet de mettre en œuvre une méthode de
filtrage dépendant de la politique de sécurité adoptée par l'entité. On
distingue habituellement deux types de politiques de sécurité
permettant :
– soit d'autoriser uniquement les communications ayant été
explicitement autorisées :
– soit d'empêcher les échanges qui ont été explicitement interdits.

41
 Filtrage de paquets : principe
Rôle : filtre entre le réseau local et un autre réseau
Routeur ou ordinateur dédié qui transmet les paquets en suivant un
certain nombre de règles déterminées
Supervise le trafic entrant et sortant
Chaque paquet IP contient des informations que le routeur va extraire
et étudier :
– l'adresse de l'expéditeur

– l'adresse du destinataire
– le port IP du service demandé
– le port IP du poste demandeur
– le flag (drapeau) qui précise si le paquet est une réponse à une
demande de service, ou une demande d'établissement de
connexion. Un flag ayant la valeur "ACK" (acknowledge) indique
que le paquet fait partie d'une discussion en cours 42
 Filtrage de paquets : exemple
Une société dispose d'un réseau interne et d'un serveur web. Les
machines doivent être inaccessibles de l'extérieur, sauf le serveur web
qui peut être consulté par n'importe quel équipement connecté à
l'Internet
La liste de règles doit servir pour interdire toutes les connexions venant
de l'extérieur, sauf vers le port 80 du serveur web.

43
 Le filtrage simple de paquets
(Stateless)
Principe
C'est la méthode de filtrage la plus simple, elle opère au niveau de la
couche réseau et transport du modèle OSI. La plupart des routeurs
d'aujourd'hui permettent d'effectuer du filtrage simple de paquet. Cela
consiste à accorder ou refuser le passage de paquet d'un réseau à un
autre en se basant sur :

- L'adresse IP Source/Destination.
- Le numéro de port Source/Destination.
- Et bien sur le protocole de niveau 3 ou 4.

Cela nécessite de configurer le Firewall ou le routeur par des règles de

filtrages, généralement appelées des ACL (Access Control Lists).

44
 Le filtrage simple de paquets
(Stateless)
Limites
Le premier problème vient du fait que l'administrateur réseau est
rapidement contraint à autoriser un trop grand nombre d'accès, pour
que le Firewall offre une réelle protection. Par exemple, pour autoriser
les connexions à Internet à partir du réseau privé, l'administrateur
devra accepter toutes les connexions TCP provenant de l'Internet avec
un port supérieur à 1024. Ce qui laisse beaucoup de choix à un
éventuel pirate.
Enfin, ce type de filtrage ne résiste pas à certaines attaques de type IP
Spoofing / IP Flooding, la mutilation de paquet, ou encore certaines
attaques de type DoS. Ceci est vrai sauf dans le cadre des routeurs
fonctionnant en mode distribué. Ceci permettant de gérer les Acl
directement sur les interfaces sans remonter à la carte de traitement
central. Les performances impactées par les Acl sont alors quasi
nulles.
45
 Le filtrage de paquet avec état
(Stateful)
Principe
L'amélioration par rapport au filtrage simple, est la conservation de la
trace des sessions et des connexions dans des tables d'états internes
au Firewall. Le Firewall prend alors ses décisions en fonction des états
de connexions, et peut réagir dans le cas de situations protocolaires
anormales. Ce filtrage permet aussi de se protéger face à certains
types d'attaques DoS.

46
 Le filtrage de paquet avec état
(Stateful)
Pour le protocole FTP (et les protocoles fonctionnant de la même
façon), c'est plus délicat puisqu'il va falloir gérer l'état de deux
connexions. En effet, le protocole FTP, gère un canal de contrôle établi
par le client, et un canal de données établi par le serveur.
Le Firewall devra donc laisser passer le flux de données établi par le
serveur. Ce qui implique que le Firewall connaisse le protocole FTP, et
tous les protocoles fonctionnant sur le même principe. Cette technique
est connue sous le nom de filtrage dynamique (Stateful Inspection) et a
été inventée par Checkpoint. Mais cette technique est maintenant
gérée par d'autres fabricants.

47
 Le filtrage de paquet avec état
(Stateful)
Limites
Tout d'abord, il convient de s'assurer que les deux techniques sont bien
implémentées par les Firewalls, car certains constructeurs ne
l'implémentent pas toujours correctement. Ensuite une fois que l'accès
à un service a été autorisé, il n'y a aucun contrôle effectué sur les
requêtes et réponses des clients et serveurs. Un serveur Http pourra
donc être attaqué impunément.
Enfin les protocoles maisons utilisant plusieurs flux de données ne
passeront pas, puisque le système de filtrage dynamique n'aura pas
connaissance du protocole.

48
 Le filtrage applicatif
Le filtrage applicatif est comme son nom l'indique réalisé au niveau de
la couche Application. Pour cela, il faut bien sûr pouvoir extraire les
données du protocole de niveau 7 pour les étudier. Les requêtes sont
traitées par des processus dédiés, par exemple une requête de type
Http sera filtrée par un processus proxy Http. Le pare-feu rejettera
toutes les requêtes qui ne sont pas conformes aux spécifications du
protocole. Cela implique que le pare-feu proxy connaisse toutes les
règles protocolaires des protocoles qu'il doit filtrer.

Le filtrage applicatif permet, comme son nom l'indique, de filtrer les

communications application par application. Le filtrage applicatif
suppose donc une bonne connaissance des applications présentes sur
le réseau, et notamment de la manière dont elle structure les données
échangées (ports, etc.).

49
 Le filtrage applicatif (2)
Limites
Le premier problème qui se pose est la finesse du filtrage réalisé par le
proxy. Il est extrêmement difficile de pouvoir réaliser un filtrage qui ne
laisse rien passer, vu le nombre de protocoles de niveau 7. En outre le
fait de devoir connaître les règles protocolaires de chaque protocole
filtré pose des problèmes d'adaptabilité à de nouveaux protocoles ou
des protocoles maisons.

Mais il est indéniable que le filtrage applicatif apporte plus de sécurité

que le filtrage de paquet avec état, mais cela se paie en performance.
Ce qui exclut l'utilisation d'une technologie 100 % proxy pour les
réseaux à gros trafic au jour d'aujourd'hui. Néanmoins d'ici quelques
années, le problème technologique sera sans doute résolu.

50
 Architecture 1
Cas particulier : 1 seule machine : la vôtre
==> Utiliser un logiciel tel que
IPChains
LookNStop
etc …

51
 Architecture 2

Avantages :
– Facile à mettre en place
– Pas cher
Inconvénients
– Lorsque le routeur est contourné ou paralysé, le réseau
entier est ouvert !
– Traces peu exploitables 52
 Architecture 3 : principe

Les informations à enregistrer :

démarrage de session TCP(ou toute tentative) avec :

– adresse (source, destination)

– port (source, destination),

53
 Architecture 3 : avantages

Par rapport à la solution précédente :

traces exploitables
et surtout, possibilité d’alarme
si le routeur est compromis, il y a encore un peu de temps pour réagir

54
 Architecture 4
La machine :
filtre
joue le rôle de serveur
fait office de proxy avec authentification
log
etc...

Routeur et proxy sur une machine

55
 Architecture 4 : inconvénients
Aucune faiblesse sur la machine !!!!
Problèmes de performance.
==> Précautions : utiliser un autre système que cette machine au moins
pour :
– Assurer l'authentification
– Stocker les logs

56
 Architecture 5

Système sûr

Abordable

57
Architecture 5 : inconvénients

Le système comporte deux sécurités distinctes, le routeur et le proxy.

Si l'une des deux est paralysée, le réseau est menacé dans son

intégralité

58
 Architecture 6

Avantages :
– système très sûr
Inconvénients
– coût d ’investissement élevé
– effort administratif important
59
 Zone démilitarisée: DMZ
Lorsque certaines machines du réseau interne ont besoin d'être
accessible de l'extérieur (comme c'est le cas par exemple pour un
serveur web, un serveur de messagerie, un serveur FTP public, ...) il
est souvent nécessaire de créer une nouvelle interface vers un réseau
à part, accessible aussi bien du réseau interne que de l'extérieur, sans
pour autant risquer de compromettre la sécurité de l'entreprise.

On parle ainsi de zone démilitarisée (souvent notée DMZ pour

DeMilitarized Zone) pour désigner cette zone isolée hébergeant des
applications mises à disposition du public

60
 Zone démilitarisée: DMZ
Zones intermédiaires dans lesquelles des serveurs réalisent des
traitements sur des flux de données
Crées pour :
– faciliter la gestion des flux de données au niveau du point de
cloisonnement
– empêcher les flux de données de passer d’une zone sûre à une
zone non sûre directement et inversement
– séparer les grandes fonctionnalités

61
 Les limites des firewalls
Un firewall ne peut pas protéger contre le trafic qui ne passe pas par
lui.
Pas de protection contre les menaces internes :
– Rarement déployé et configuré entre les réseaux internes
Pas de confidentialité des informations :
– Option Virtual Private Network (entre deux firewalls) possible
– Option cryptage entre un poste isolé et le Firewall
Pas d’authentification à l’origine des informations :
– Impossible de savoir si l’auteur du paquet est bien celui qui émet le
paquet.

62
 Les limites des firewalls (2)

Le firewall n’est qu’un acteur d’une

politique de sécurité ; il ne peut à lui
seul
résoudre tous les problèmes de
sécurité.
L’utilisation d’antivirus, la sensibilisation du personnel, la protection
physique
des machines sont autant de problèmes qu’un firewall ne peut pas
résoudre

63
 Les Produits des firewalls
Les produits significatifs dans le monde /France:

– Checkpoint software (Firewall1)

– Netscreen (NS-5, NS-25, …)

– Cisco (PIX, Centri Firewall)

– Raptor systems (Eagle)

– Bull / Evidian (NetWall)

64
Les Produits des firewalls

65
 Conclusion

Les firewalls solutions matures et bien éprouvés

PIX et CheckPoint se partagent le marché
Ipchains ou Netfilter sur Linux grignote de plus en plus des parts
Les proxy solutions nécessaires pour l’optimisation et le filtrage
applicatif
Les switch de type alteon, ou Cisco Redirect raffic et d’autres produits
tels que les solutions de Radware sont nécessaires pour augmenter les
performances.

66
Chapitre 3 :
Filtrage du trafic à l’aide des listes
de contrôle d’accès

67
Objectives
Décrire le filtrage du trafic
Expliquer comment les listes de contrôle d’accès
peuvent filtrer le trafic sur les interfaces du routeur;
Analyser l’utilisation des masques génériques
Configurer et mettre en œuvre des listes de contrôles
d’accès;
Créer et appliquer des listes de contrôle d’accès pour
contrôler des types spécifiques de trafic;
Consigner l’activité des listes de contrôle d’accès et
les méthodes recommandées correspondantes

68
Filtrage du trafic
Analyser le contenu d'un paquet
Autoriser ou bloquer le paquet
Sur la base de l'adresse IP source, destination,
adresse MAC, le protocole, le type d'application

69
 Filtrage du trafic
Les périphérique utilisés pour filtrer le trafic
des pare-feu inclus dans des routeurs intégrés ;
des appareils de sécurité dédiés ;
des serveurs.

70
Listes de contrôle d’accès
Les ACLs identifient :
La spécification d’hôtes internes pour la fonction NAT
La classification du trafic pour QoS
La limitation des mises à jour de routage, du résultat
de débogage et le contrôle de l’accès au terminal
virtuel des routeurs.

71
Listes de contrôle d’accès
Certains problèmes :
La charge supplémentaire sur le routeur
une interruption possible du réseau.
Conséquences inattendus pour un mal positionnement

72
Types et utilisation des listes de contrôle d’accès

ACL standard basé sur l'adresse IP

source
ACL étendue filtre sur la source et de
destination, ainsi que le protocole et le
numéro de port
ACL nommées peuvent être standard ou
étendu

73
Types de liste d’accès

74
Traitement des listes de contrôle d’accès

ACLs comprennent une ou plusieurs

instructions.
Au moins une instruction doit être permit
La dernière instruction est une instruction deny
implicite
ACL doit être appliquée à une interface afin
d’être active

75
Traitement des listes de contrôle
d’accès

76
 Traitement des listes de contrôle
d’accès
ACL est appliqué en entré ou en sortie
La direction est par rapport au routeur
Chaque interface ne peut disposer que d’une seule
ACL par direction pour chaque protocole réseau.

77
Fonction et structure d’un masque générique

Masque générique peut bloquer une plage d'adresses ou un

réseau entier d'une seule déclaration
0 pour indiquer la partie d’une adresse IP qui doit exactement
correspondre
1 pour indiquer la partie d’une adresse IP qui ne doit pas
correspondre à un nombre donné.

78
Fonction et structure d’un masque générique

79
Analyse des effets du masque générique

Le masque générique 0.0.0.0 après l’adresse IP ou le paramètre

host avant l’adresse IP.
La paramètre any remplace la masque générique
255.255.255.255…
Exercice interactif

80
Configuration des listes de contrôle d’accès
Identification des spécifications de filtrage du trafic
Identification du type de liste de contrôle d’accès le
mieux adapté aux spécifications
Identification du routeur et de l’interface sur lesquels
doit être appliquée la liste de contrôle d’accès
Identification de la direction du filtrage du trafic

81
Configuration des listes de contrôle d’accès standard

Entrez les instructions de la liste de contrôle d’accès :

access-list
Entrez toutes les instructions avec le même numéro
1-99, 1300-1999
Appliquer le proche possible de la destination

82
Configuration des listes de contrôle d’accès étendu

Entrez les instructions de la liste de contrôle d’accès :

access-list
Entrez toutes les instructions avec le même numéro
100-199, 2000-2699
Spécifiez le protocole à permettre ou à bloquer
Placez le plus proche de la source

83
Configuration des listes de contrôle d’accès nommées

un nom descriptif remplace les plages de valeurs

Utiliser ip access-list
entrez l’une après l’autre toutes les instructions permit
et deny.
Utiliser la syntaxe des commandes des listes de
contrôle d’accès standard ou étendues

84
Configuration de l’accès du routeur au terminal virtuel

Créer l'ACL en mode de configuration en ligne

Utiliser la commande access-class pour lancer l'ACL
Utiliser un ACL numérotée,
Appliquer des restrictions identiques à toutes les
lignes VTY

85
Autorisation et interdiction de trafics déterminés

Utiliser une condition spécifiée lors du filtrage sur les numéros de

port: eq, lt, gt
Refuser tous les ports appropriés pour les applications multi-port
comme FTP
Utilisez l'opérateur range pour filtrer un groupe de ports

86
Autorisation et interdiction de trafics déterminés
Bloquer le trafic externes nuisibles tout en permettant
le libre accès des utilisateurs internes
Ping: autoriser des réponses d'écho, tout en refusant
les demandes d'écho en dehors du réseau

87
 Conclusion
Les listes de contrôles d’accès permettent de gérer le trafic
et assurent un accès sécurisé au réseau et à ses
ressources
Appliquez une liste de contrôle d’accès filtrent le trafic en
fonction des adresses IP source et de destination, de
l’application et du protocole.
ACL peut être standard, étendue ou nommé
Un masque générique offre une certaine souplesse.
La liste de contrôle d’accès se termine par une instruction
implicite deny any.
Tenir compte de la traduction NAT lors de la création et
l’application des ACL
88