Page 1

Conférence 25 : Pare-feu

Introduire plusieurs types de pare - feu

Discuter de leurs avantages et
désavantages
Comparez leurs performances
Démontrer leurs applications

C. Ding -- COMP581 -- L25 1

Page 2

Qu'est-ce qu'un pare-feu ?

Un pare-feu est un système de matériel et

composants logiciels conçus pour
restreindre l'accès entre ou parmi
réseaux, le plus souvent entre les
Internet et un Internet privé.
 Le pare - feu fait partie d'une sécurité globale
politique qui crée un périmètre de défense
conçu pour protéger les informations
ressources de l'organisation.

C. Ding -- COMP581 -- L25 2

Page 3

En d'autres termes…

“ Une sentinelle de données au

passerelle vers votre réseau,
combinant la puissance de
pare-feu multiple
technologies à livrer
périmètre puissant
Sécurité"

C. Ding -- COMP581 -- L25 3

Page 4

À quoi sert un pare-feu

Mettre en œuvre des politiques de sécurité en un seul

indiquer
 Surveiller les événements liés à la sécurité (audit,
Journal)
Fournir une authentification forte
Autoriser les réseaux privés virtuels

C. Ding -- COMP581 -- L25 4

Page 5

Ce qu'un pare-feu ne fait pas

Protection contre les attaques qui contournent la

pare-feu
Appel sortant d'un hôte interne vers un FAI
Protection contre les menaces internes
employé mécontent

initié coopère avec un attaquant externe

Protection contre le transfert de virus-
programmes ou fichiers infectés

C. Ding -- COMP581 -- L25 5

Page 6

Pare-feu - Disposition typique

 Un pare-feu refuse ou autorise l'accès
basé sur des politiques et des règles

Réseau privé protégé

l'Internet

C. Ding -- COMP581 -- L25 6

Page 7

Surveiller l'attaque

Surveiller Enregistrer Avertir

Réseau privé protégé

l'Internet

Attaque

C. Ding -- COMP581 -- L25 7

Page 8
 Technologies de pare-feu
Technologies de pare-feu courantes :
Ils peuvent être classés en quatre catégories:
Filtrage de paquets Firewalls
Circuit Niveau Firewalls
application pare - feu passerelle (ou les serveurs proxy)
Pare-feu d'inspection avec état (paquet dynamique
filtrage des pare-feux)
Ces technologies fonctionnent à différents niveaux
de détail, offrant divers degrés de réseau
protection d'accès.
Ces technologies ne s'excluent pas mutuellement
comme certains produits de pare-feu peuvent implémenter
plusieurs de ces technologies simultanément.

C. Ding -- COMP581 -- L25 8

Page 9

La pile de protocoles Internet

Application

TCP, UDP. . . Transport TCP, UDP. . .

IP Réseau IP

PPP, relais de trame. . . Liaison de données

Pilotes, adresse MAC

Ligne louée, RNIS, xDSL . . . Physique Carte d'interface LAN

BLÊME LAN
 C. Ding -- COMP581 -- L25 9

Page 10

Pare-feu de filtrage de paquets

C. Ding -- COMP581 -- L25 dix

Page 11

Pare-feu de filtrage de paquets

Le pare - feu d' origine

Travaux au niveau du réseau de l'OSI
maquette
applique des filtres de paquets en fonction de l' accès
des règles
Adresse source
 Adresse de destination
application ou protocole
Numéro de port source
Numéro de port de destination
C. Ding -- COMP581 -- L25 11

Page 12

Pare-feu de filtrage de paquets

C. Ding -- COMP581 -- L25 12

Page 13

Pare-feu de filtrage de paquets

le filtrage
de paquets est généralement un système intégré
fonction d'un routeur.
Le filtrage de paquets repose sur la couche réseau et
Informations sur la couche de transport contenues dans le
en-têtes de paquets de données à la police du trafic.
 Ces informations comprennent l' adresse IP source
et numéro de port, adresse IP de destination et
numéro de port et protocole utilisé (par exemple, TCP,
UDP, ICMP). Ces informations sont utilisées comme
critères dans les règles d'accès au réseau. Ces règles
sont organisés en plusieurs « ensembles de filtres » et
chaque ensemble gère le trafic arrivant au pare-feu
sur une interface spécifique.

C. Ding -- COMP581 -- L25 13

Page 14

Politique de filtrage de paquets

Exemple
Mon hôte Autre hôte

action port de nom Nom commentaires sur les ports

m

bloquer * * microsoft.co * Bloquer

m tout de
MME

Autoriser Mon- 25 * * Autoriser les entrées

passerelle poster

C. Ding -- COMP581 -- L25 14

Page 15

Politique de filtrage de paquets

Exemple
RégnerDirection La sourceDestination Protocole # La source# Destin. action
 Adresse Adresse Port Port

Diapositive 16
1 En dehors * 10.56.199* * * * Tomber
2 En dehors10,56* 10.122* TCP * 23 (Telnet) Passer
3 Dans 10.122* 10.56.199* TCP 23 (Telnet) * Passer
4 Entrée et sortie* 10.56.199* TCP * 25 (courrier)Passer
5 Dans * * TCP * 513 (rconnexion)
Tomber
6 Dans 201.32.4.76 * * * * Tomber
7 En dehors * * TCP * 20 (FTP) Passer
8 Dans * 10.56.199* TCP * 20 (FTP) Tomber

C. Ding -- COMP581 -- L25 15

Page 16

Accès Web via un

Pare-feu de filtrage de paquets

ACK : = message d'accusé de réception positif pour l'expéditeur du destinataire.

Typiquement juste un peu.

C. Ding -- COMP581 -- L25 16

Page 17

Pare-feu de filtrage de paquets

 Pare-feu/routeur

Production Saisir
Filtre Filtre

Règles d'accès Règles d'accès

Interne
Réseau Réseau
Réseau
Routeur
Liaison de données Liaison de données
l'Internet
Physique Physique

C. Ding -- COMP581 -- L25 17

Page 18

Pare-feu de filtrage de paquets :

avantages et inconvénients
Avantages:
Simple, peu coûteux, transparent pour l'utilisateur
Inconvénients:
Difficile à configurer des règles de filtrage
Difficile à tester les règles de filtrage
Ne pas la topologie du réseau cacher ( en raison de
transparence)
peut ne pas être en mesure de fournir suffisamment de cont
sur le trafic
 C. Ding -- COMP581 -- L25 18

Page 19

Pare-feu au niveau du circuit

( Passerelles au niveau du circuit )

C. Ding -- COMP581 -- L25 19

Page 20

Pare-feu au niveau du circuit

Les passerelles au niveau du circuit fonctionnent au

couche session du modèle OSI, ou la
Couche TCP de TCP/IP
Surveiller la négociation TCP entre
paquets pour déterminer si un
la session demandée est légitime.
 C. Ding -- COMP581 -- L25 20

Page 21

Pare-feu au niveau du circuit

C. Ding -- COMP581 -- L25 21

Page 22

Passerelle d'applications
Pare-feu
(Pare-feu proxy)
 C. Ding -- COMP581 -- L25 22

Page 23

Pare-feu de passerelle d'application

similaires aux passerelles de niveau circuit , sauf que
ils sont spécifiques à l'application.
Chaque connexion entre deux réseaux est
fait via un programme d'application appelé proxy
Les proxys sont spécifiques à l'application ou au protocole
Seuls les protocoles qui ont proxies spécifiques
configurés sont autorisés à travers le pare-feu ; tous
le reste du trafic est rejeté.
Passerelle configurée pour être un proxy Web
n'autorisera aucun ftp, gopher, telnet ou autre
trafic à travers

C. Ding -- COMP581 -- L25 23

Page 24

Passerelle d'applications
Pare-feu
Pare-feu
Mandataires d'application
 Application Application

Transport Transport

Interne
Réseau Réseau
Réseau

Liaison de données
Liaison de données
l'Internet
Physique Physique

Routeur

C. Ding -- COMP581 -- L25 24

25

Passerelle d'applications
Pare-feu

C. Ding -- COMP581 -- L25 25

Page 26

Passerelle d'applications
Forces
 Très sûr si utilisé en conjonction avec
un pare-feu de filtrage de paquets intelligent

Des proxys bien conçus offrent une excellente

Sécurité

C. Ding -- COMP581 -- L25 26

27

Passerelle d'applications
faiblesses
Très gourmand en CPU
Nécessite un hôte haute performance
ordinateur
Système d'exploitation hôte susceptible d'être attaqué
De nombreux proxys sont transparents pour
application
Pas transparent pour les utilisateurs
cher

C. Ding -- COMP581 -- L25 27

Page 28

Pare-feu d'inspection avec état

C. Ding -- COMP581 -- L25 28

Page 29

Pare-feu d'inspection avec état

technologie de pare - feu de troisième génération,

souvent appelé paquet dynamique
filtration
Comprend données en paquets à partir du
couche réseau (en-têtes IP) jusqu'à la
Couche d'application
Suit l'état
de la communication
séances
 C. Ding -- COMP581 -- L25 29

Page 30

Pare-feu d'inspection avec état

Pare-feu/routeur

Application - Tableau d'état

Transport - Règles d'accès

Réseau - Règles d'accès

Module d'inspection
Interne
Réseau
Réseau Réseau
Routeur Liaison de données
Liaison de données
l'Internet
Physique Physique

C. Ding -- COMP581 -- L25 30

Page 31

Filtrage dynamique
Inspection avec état
pare-feu dynamiquement
ouvrir et fermer les ports
(spécifique à l'application
points de connexion)
en fonction de l'accès
Réseau privé protégé Le pare-feu vérifie les stratégies pour
Stratégies. valider l'ordinateur d'envoi
et permet au trafic de passer
Réseau public
l'Internet
 L'utilisateur lance une session Web

Trafic de retour pour validé

la session Web est autorisée et le
l'état du flux est surveillé Autre trafic
du public
réseau
est bloqué

C. Ding -- COMP581 -- L25 31

Page 32

Points forts de l'inspection avec état

Surveille l'état de tous les flux de données

Adapte dynamiquement les filtres en fonction de
politiques et règles définies
Facilement adaptable au nouvel Internet
applications
Transparent pour les utilisateurs
Faibles surcharges CPU

C. Ding -- COMP581 -- L25 32

Page 33

Inspection avec état

Faiblesses

Besoin de fournir un nouveau programme client

peut avoir des problèmes avec la
 disponibilité du code source pour divers
plates-formes

C. Ding -- COMP581 -- L25 33

Page 34

Pare-feu d'inspection avec état

Ce sont parmi les plus

pare-feu sécurisés disponibles aujourd'hui

« les tromper peut représenter beaucoup de trava

Jon McCown, analyste en sécurité réseau pour
la - Sécurité informatique nationale des États-Unis
Agence (NCSA)

C. Ding -- COMP581 -- L25 34

Page 35

Performances générales
 C. Ding -- COMP581 -- L25 35

Page 36

Autres problèmes concernant les par

C. Ding -- COMP581 -- L25 36

Page 37
 Prise en charge RADIUS
authentification à distance de l'utilisateur distant
Prestations de service
Une base de données de sécurité unique et centrale pour tou
utilisateurs du système
Gestion centralisée des listes d'accès

C. Ding -- COMP581 -- L25 37

Page 38

Sécurité d'accès à distance

Utilisateur à distance
authentifié

Siège social
Téléphonie
Prestations de service

Stratégie de pare-feu attribuée

pour appeler l'utilisateur avant
terminer la connexion
réseauter

Utilisateur d'appel à distance

 C. Ding -- COMP581 -- L25 38

Page 39

Mise en œuvre de l'inspection avec état

Trafic de retour pour validé

Vérifications du pare-feu
la session Web est autorisée
règles de politique à
et l'état du flux est
valider l'expéditeur
surveillé

Réseau privé protégé

l'Internet

L'utilisateur initie Le pare-feu s'ouvre

session en ligne port requis
et permet la circulation
passer à
réseau public
C. Ding -- COMP581 -- L25 39

Page 40

Traduction d'adresses réseau

Substituts de pare-feu
adresse privée
à l'adresse publique
et en avant
a l'Internet

Réseau privé protégé

l'Internet
 Le pare-feu traduit
L'utilisateur communique flux de retour de
avec Internet Publier à
en utilisant un privé Adresse privée
adresse IP

C. Ding -- COMP581 -- L25 40

Page 41

Passerelle au niveau de l'application

Exemple

Niveau d'application
La passerelle est terminée
Serveur ftp connexion

Si la connexion est valide

la table d'état est
actualisé
et connexion à
Serveur ftp
établi
Connexion FTP
Règles d'accès initié de
vérifié réseau public

C. Ding -- COMP581 -- L25 41

Page 42

Journalisation des sessions

Le pare-feu peut être configuré pour enregistrer un

vaste gamme d'événements, y compris:
Tous les paquets refusés
Tous les permis paquets
Types de paquets autorisés et refusés sélectionnés
 Etc.

C. Ding -- COMP581 -- L25 42

Page 43

Notification SNMP/SMTP

Email envoyé à
spécifié
adresse Le pare-feu détecte
attaque
(balayage des ports)
Réseau privé protégé

l'Internet

Piège SNMP
un message
SNMP : protocole de gestion de réseau simple
à la direction
Plate-forme

C. Ding -- COMP581 -- L25 43

Page 44

Notification et reconfiguration
Serveur Web

Z
Le pare-feu détecte
 M
ré attaque
(SYN Inondation)
Réseau privé protégé Serveur

l'Internet
Email envoyé à
Système
Directeur

Pare-feu automatiquement
reconfiguré pour nier tout
Accès externe au WEB
Serveur
C. Ding -- COMP581 -- L25 44

Page 45

Gestion sécurisée

Sécurisé crypté et authentifié

Gestion à distance
Secure Shell « SSH »
Clés de cryptage RSA 512 - 2048 bits
Cryptage DES et Triple DES pour SSH
séances
Peut limiter l'accès à des adresses d'utilisateurs spécifiques

C. Ding -- COMP581 -- L25 45

Page 46
 Exemples de configuration réseau

C. Ding -- COMP581 -- L25 46

47

Réseau privé protégé

Autoriser tous les accès du réseau privé au
l'Internet
Refuser tous les accès de l'Internet au privé
réseau
Réseau privé protégé

l'Internet

C. Ding -- COMP581 -- L25 47

48

Zone semi-militarisée

Réseau privé protégé

Tous
Réseau privé pour
non autorisé
serveurs d'entreprise
le trafic est
et les utilisateurs
bloqué
l'Internet

LA TOILE
Serveur
SMZ Tous les autres
SMZ
entrant
Poster Limites de la politique de pare-feu
circulation
Serveur accès entrant à
bloqué
WEB et serveur de messagerie
du réseau public
Zone semi-militarisée

C. Ding -- COMP581 -- L25 48

49

Le réseau local privé reste sécurisé

Réseau privé protégé

l'Internet

LA TOILE
Connexion : pirate informatique
Serveur
Mot de passe s'il vous plait
Alors ok! SMZ

Poster
Serveur
 Zone semi-militarisée

C. Ding -- COMP581 -- L25 49

50

Zone démilitarisée

Réseau privé protégé

Accès libre
entre
réseau local privé
et DMZ

Permettre l'Internet
SMTP,
D'ici
là-bas
LA TOILE seulement
Serveur
DMZ
Filtres statiques
Poster
entre LAN privé
Serveur et DMZ utilisé pour
contrôler l'accès
Zone démilitarisée

C. Ding -- COMP581 -- L25 50

51

Remarques finales

Tout ce qu'un pare-feu peut faire, c'est contrôler le réseau

activités entre les niveaux OSI 2 et 7.
Ils ne peuvent pas garder les données portées à l'intérieur
applications, telles que les virus dans les e-mails
messages : il y a trop de façons de
encoder les données pour pouvoir filtrer ce genre
de menace.
Bien que les pare-feu offrent un niveau élevé de
la sécurité dans les réseaux privés d'aujourd'hui au
monde extérieur, nous avons encore besoin de l'aide de
d'autres composants de sécurité connexes afin de
garantir une bonne sécurité du réseau.
C. Ding -- COMP581 -- L25 51