Chapitre 4

Implémenter les Technologies

Firewall

CCNA Security v2.0

Smail Bacha
Source: Plateforme Cisco Netacad
 0 Introduction
1 Listes de contrôle d'accès
2 Technologies de pare-feu
3 Pare-feu de stratégie basée sur la zone
4 Résumé

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 2
© 2013 Cisco and/or its affiliates. All rights reserved.
Enseignant: Smail Bacha A21 Cisco Public 3
 Tous les pare-feu:
 Résistent aux attaques

 Sont le seul point de transit entre

les réseaux car tout le trafic
passe par le pare-feu
 Appliquer la politique de contrôle
d'accès

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 4
 Un pare-feu mal configuré peut avoir de graves conséquences pour le réseau,
comme devenir un point de défaillance unique.
 Les performances du réseau peuvent ralentir.
 Le trafic non autorisé peut être tunnelisé ou masqué en tant que trafic légitime via le
pare-feu.
 Empêchent des données malveillantes d'être envoyés vers les serveurs et les clients.
 Firewall correctement configuré fait que l’application de la politique de sécurité
simple, évolutive et robuste.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 5
© 2013 Cisco and/or its affiliates. All rights reserved.
Enseignant: Smail Bacha A21 Cisco Public 6
 Pare-feu de filtrage de paquets

Généralement, un routeur avec la capacité de

filtrer certains contenus de paquets, tels que les
informations de couche 3 et parfois de couche 4,
Ce sont des pare-feu sans état qui utilisent une
simple recherche de table de stratégie qui filtre
le trafic en fonction de critères spécifiques.

Les avantages et limites du pare-feu de filtrage de paquets

 Filtrage de paquets est susceptible d’une mystification d'adresse IP. Les pirates envoient des
paquets arbitraires qui répondent à des critères d'ACL et de passer à travers le filtre.
 Les filtres de paquets ne filtrent pas bien les paquets fragmentés. Parce que l'en-tête TCP est dans
le premier fragment et des filtres de paquets filtrent sur des informations d'en-tête TCP, tous les
fragments après le premier fragment se transmettent sans condition.
 ACL complexes sont difficiles à mettre en œuvre et a maintenir en bon état.
 Les filtres de paquets ne peuvent pas filtrer dynamiquement certains services.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 7
Les pare-feu avec état
Les pare-feu avec état fournissent un filtrage des
paquets avec état en utilisant les informations de
connexion conservées dans une table d'état. Le
filtrage avec état est une architecture de pare-feu
classée au niveau de la couche réseau.

Le filtrage avec état suit chaque connexion

traversant toutes les interfaces du pare-feu et
confirme qu'elles sont valides. Les pare-feu avec état
utilisent une table d'états pour suivre le processus de
communication réel, Le pare-feu examine les
informations dans les en-têtes des paquets de
couche 3 et des segments de couche 4.

Fonctionnement du pare-feu dynamique : Chaque fois qu'une connexion TCP ou

UDP est établie pour les connexions
entrantes ou sortantes, un pare-feu avec
état enregistre les informations dans une
table d'état pour ce flux spécifique .Ce
routeur ajoute dynamiquement une
entrée de contrôle d'accès pour le trafic
de retour

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 8
Les avantages et limitations du pare-feu dynamique
Avantages
 Souvent utilisé comme principal moyen de défense en filtrant, le trafic inutile ou indésirable.
 Renforce le filtrage des paquets en fournissant un contrôle plus rigoureux sur la sécurité de
filtrage de paquets
 Améliore les performances des filtres de paquets ou des serveurs proxy.
 Protège contre les usurpations d'identité et les attaques DoS
 Permet plus d'informations journal qu’un firewall de filtrage de paquets

Inconvénients

 Vous ne pouvez pas empêcher les attaques de la couche application, car il n'examine pas le
contenu réel de la connexion HTTP

 Tous les protocoles sont avec état, comme UDP et ICMP

 Certaines applications nécessitent plusieurs connexions multiples nécessitant une toute

nouvelle gamme de ports ouverts pour permettre cette seconde connexion

 firewall Stateful ne prend pas en charge l'authentification des utilisateurs

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 9
 Pare-feu de passerelle d'application
Filtre les informations sur les couches 3, 4, 5 et
7 du modèle de référence OSI. La plupart du
contrôle et du filtrage du pare-feu se fait par
logiciel. Lorsqu'un client doit accéder à un
serveur distant, il se connecte à un serveur
proxy. Le serveur proxy se connecte au serveur
distant au nom du client. Par conséquent, le
serveur ne voit qu'une connexion à partir du
serveur proxy.

Pare-feu NAT
Ce pare-feu augmente le nombre d'adresses IP
disponibles et la conception du réseau se cache
d'adressage.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 10
 Un pare-feu de nouvelle génération va au-delà du pare-feu dynamique de plusieurs
manières importantes:
 Identification granulaire, visibilité et contrôle des comportements au sein des
applications;
 Restreindre l'utilisation du Web et des applications Web en fonction de la
réputation du site;
 Protection proactive contre les menaces Internet;
 Application des stratégies en fonction de l'utilisateur, de l'appareil, du rôle, du
type d'application et du profil de menace;
 Performances de NAT, VPN et SPI;
 Utilisation d'un IPS;

Cisco (ASA). Conçu avec une protection avancée contre les logiciels malveillants,
Cisco ASA avec les services FirePOWER est également appelé le pare-feu Cisco
ASA nouvelle génération, car il s'agit d'un pare-feu adaptatif axé sur les menaces.

NGFW: Next generation FireWall

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 11
© 2013 Cisco and/or its affiliates. All rights reserved.
Enseignant: Smail Bacha A21 Cisco Public 12
 Le pare-feu classique Cisco IOS, anciennement appelé contrôle d'accès basé sur
le contexte (CBAC), est une fonction de pare-feu dynamique ajoutée à Cisco IOS
avant la version 12.0. Il propose quatre fonctions principales:
filtrage et inspection du trafic, détection des intrusions et génération d'audits et
d'alertes.
Il peut aussi examiner les connexions prises en charge pour le NAT intégré et les
informations de traduction d'adresse de port (PAT) et effectuer les traductions
d'adresse nécessaires.
Par contre, il fournit uniquement un filtrage pour les protocoles spécifiés par un
administrateur.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 13
 Le pare-feu classique peut également être configuré pour inspecter le trafic dans deux
directions: vers l'intérieur et vers l'extérieur. Cela est utile lors de la protection de deux
parties d'un réseau, dans lesquelles les deux parties établissent certaines connexions et
permettent au trafic de retour d'atteindre sa source.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 14
 1. Choisissez les interfaces internes et externes.

2. Configurez les ACL pour chaque interface.

3. Définissez les règles d'inspection.

4. Appliquez une règle d'inspection à une interface.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 15
© 2013 Cisco and/or its affiliates. All rights reserved.
Enseignant: Smail Bacha A21 Cisco Public 16
 Certaines conceptions sont aussi simples que de désigner un réseau extérieur et un
réseau intérieur, qui sont déterminés par deux interfaces sur un pare-feu.
 Le trafic provenant du réseau privé est autorisé et inspecté lorsqu'il se dirige vers le
réseau public.
 Le trafic inspecté revenant du réseau public et associé au trafic provenant du réseau
privé est autorisé.
 Le trafic provenant du réseau public et voyageant vers le réseau privé est généralement
bloqué.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 17
 Une zone démilitarisée (DMZ) est une conception de pare-feu où il y a généralement une
interface intérieure connectée au réseau privé, une interface extérieure connectée au
réseau public et une interface DMZ,

 Le trafic provenant du réseau privé est inspecté lorsqu'il se dirige vers le réseau public
ou DMZ, il est autorisé avec peu ou pas de restrictions.
 Le trafic inspecté revenant de la DMZ ou du réseau public au réseau privé est autorisé.
 Le trafic provenant du réseau DMZ ou public et voyageant vers le réseau privé est
généralement bloqué.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 18
  Le trafic provenant du réseau DMZ ou public et voyageant vers le réseau privé est
généralement bloqué.
 Le trafic provenant du réseau DMZ et voyageant vers le réseau public est autorisé de
manière sélective en fonction des exigences de service.
 Le trafic provenant du réseau public et se dirigeant vers la DMZ est autorisé et
inspecté de manière sélective. Il s’agit généralement du trafic de messagerie,
DNS,HTTP ou HTTPS.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 19
  Les ZPF utilisent le concept de zones pour offrir une flexibilité supplémentaire. Une
zone est un groupe d'une ou plusieurs interfaces qui ont des fonctions ou des
caractéristiques similaires.
 Les zones vous aident à spécifier où un pare-feu Cisco IOS doit être appliqué.
 Par défaut, le trafic entre les interfaces d'une même zone n'est soumis à aucune
politique et passe librement.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 20
  Cependant, tout le trafic de zone à zone est bloqué. Afin d'autoriser le trafic entre les
zones, une stratégie autorisant ou inspectant le trafic doit être configurée.
 La zone autonome est le routeur lui-même et comprend toutes les adresses IP de
l'interface du routeur.
 Par défaut, il n'y a pas de stratégie pour le trafic entrant ou sortant de la zone libre inclut
le plan de gestion et de contrôle (ssh,telnet,snmp et les protocoles de routages).

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 21
 Une défense en couches utilise différents types de
pare-feu qui sont combinés en couches pour ajouter
de la profondeur à la sécurité d'une organisation.
 Un administrateur réseau doit prendre en compte de
nombreux facteurs lors de la création d'une défense
complète et approfondie.

 Les considérations relatives à la défense réseau en couches

1. Sécurité de base du réseau : protège contre les logiciels malveillants
et les anomalies de trafic, applique les stratégies réseau et assure la
capacité de survie.
2. Sécurité du périmètre :Sécurise les limites entre les zones
3. Sécurité des terminaux: Assure la conformité aux stratégies de
sécurité des identités et des appareils.
4. Sécurité des communications: fournit une assurance de l’information.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 22
 Les meilleures pratiques du pare-feu incluent:
 Le positionnement des pare-feu aux limites de sécurité.
 L’utilisation de plusieurs niveau de sécurité et ne pas compter
exclusivement sur un pare-feu pour la sécurité.
 Refus de tout le trafic par défaut et l’autorisation concerne
uniquement les services nécessaires.
 Contrôler l'accès physique au pare-feu.
 Surveillance des fichiers journaux du pare-feu.
 Pratiquez la gestion des changements pour les changements de
configuration du pare-feu.
 N'oubliez pas que les pare-feu protègent principalement contre les
attaques techniques provenant de l'extérieur.

© 2013 Cisco and/or its affiliates. All rights reserved.

Enseignant: Smail Bacha A21 Cisco Public 23
© 2012 Cisco and/or its affiliates. All rights reserved. 24