Académique Documents
Professionnel Documents
Culture Documents
CHAPITRE 5: INTRODUCTION À LA
rihab.boussada@ensi-uma.tn 1 2
Introduction
Objectifs du chapitre
Réseau Local Zone privée Trafic échangé:
Intérieur Intérieur
- Comprendre la notion de filtrage de paquets dans le réseau.
Intérieur Extérieur
- Maîtriser les règles de filtrage
LAN:
bordure:
Firewall
3 4
Firewall Filtrage de paquets: principe
Filtrage du trafic entrant et du trafic sortant
Firewall = Pare-feu = Coupe-feu Firewall Laisser passer certains paquets + rejetter paquets
selon sa politique de sécurité.
Réellement Il prévient la propagation d'un incendie.
Dans un réseau il prévient la propagation d'une attaque et
Réseau
autorise la circulation du trafic légitime. Réseau
Trafic entrant
externe
interne Internet
LAN
Trafic sortant
Inefficace contre les attaques local Pas de protection
contre les attaques qui ne le traverse pas
Firewall
matériel ou logiciel
5 6
Internet 192.168.22.35
Routeur
Web/80
Séparation entre les trois zones LAN Routeur Firewall Internet
TCP
externe
Réseau Périphérique Le LAN
Routeur Le WAN
interne
Réseau Privé
La DMZ (Zone démilitarisée)
Firewall matériel: Routeurs filtrants Firewall matériel: Firewall sous forme boîtiers
Inspecter des parties limitées des entêtes des paquets. Rapidité de traitement
Supportent rarement les interfaces WAN Nécessité
Aucune information sur l d communication de bout en bout. routeurs pour la connectivité
Exemple :
Sensible aux attaques par fragmentation
Cisco ASA (Adaptive Security Appliance)
Cisco PIX (Private Internet eXchange)
15 16
Filtrage de paquets: Types de filtrage Filtrage de paquets: Types de filtrage
Filtrage à état: Statefull
Filtrage sans état (Stateless): Tracer les sessions et les connexions dans des tables d'états internes au
Filtrage simple: Inspecter chaque paquet à part et le comparer à une liste de Firewall.
Décider en fonction des états de connexions
règles préconfigurées (ACL).
Implémenté sur les routeurs et les systèmes Exemple: que chaque paquet d'une connexion est bien la suite
du précédent paquet.
Limites:
Utiliser un trop grand nombre de règles afin offrir une réelle protection des règles est possible sans lire les ACL à chaque fois
Sensible aux attaques IP spoofing / IP flooding et attaques DoS Les paquets seront acceptés.
17 18
Une solution
Examiner aussi le port source
Règle Direction @ source @ Dest. Protocole Port src. Port dest. Action
23 24
IDS : Intrusion Détection System
Signatures:
=équipement surveiller et de contrôler - Modèle recherché à l'intérieur d'un paquet de données.
- détecter une ou plusieurs types d'attaques.
détecter des activités anormales ou suspectes
- Ex.présence de " scripts/iisadmin " dans un paquet allant vers votre serveur web
peut indiquer une activité d'intrus.
réagir à ces tentatives.
Alertes:
= notifications pour l'utilisateur d'une activité d'intrus.
= sniffer +moteur qui analyse le trafic selon des
règles. IDS informer l'administrateur de ces alertes.
Couche Réseau (IP, ICMP)
Couche Transport (TCP, UDP) Faux positif
Couche Application (HTTP, Telnet)
Faux négatif = une
25 26
Les avantages :
Un IPS est un IDS qui ajoute des fonctionnalités de -Détection en temps réel
blocage pour une anomalie trouvée. -Multisondes
IDS devient actif => IPS.
-
Les inconvénients:
Avantages - Certaines attaques sont indétectable
Inconvénients : beaucoup de faux positifs ce qui -Taux de perte de paquets non nul
peut paralyser le réseau -
27 28