Scribd Logo
Importer

Bienvenue sur Scribd !

  • Cours Firewall

    Transféré par

    arkh.celestris
    9 vues19 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    9 vues19 pages

    Cours Firewall

    Transféré par

    arkh.celestris

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 19

    Le Firewall

    Découvrez comment sécuriser


    votre réseau des attaques
    extérieures
    À quoi sert un firewall ?

    1) Un domaine à protéger : un réseau ‘interne’.

    ■ Un réseau d’entreprise/personnel que l’on veut protéger

    ■ Vis à vis d’un réseau “externe” d'où des intrus sont susceptibles de
    conduire des attaques.
    A quoi sert un firewall ?

    2) Un pare-feu

    ■ Installé en un point de passage obligatoire entre le réseau à protéger


    (interne) et un réseau non sécuritaire (externe).

    ■ C’est un ensemble de différents composants matériels et logiciels qui


    contrôlent le trafic intérieur/extérieur selon une politique de sécurité.

    ■ Le pare-feu comporte assez souvent un seul logiciel, mais on peut avoir


    aussi un ensemble complexe comportant plusieurs filtres, plusieurs
    passerelles, plusieurs sous réseaux
    Comment marche un firewall ?

    3) Technique employée : le contrôle d’accès (le filtrage).

    ■ a) Notion de guichet : restriction de passage en un point précis et contrôle


    des requêtes.

    ■ b) Notion d’éloignement : empêcher un attaquant d’entrer dans un réseau


    protégé ou même de s’approcher de trop prés de machines sensibles.

    ■ c) Notion de confinement : empêcher les utilisateurs internes de sortir du


    domaine protégé sauf par un point précis.

    ■ d) Généralement un pare-feu concerne les couches basses Internet


    (IP/TCP/UDP), mais aussi la couche application (HTTP, FTP, SMTP…. ).
    Être un point de contrôle
    central
    Limite le nombre de contrôle de

    Ce que peut faire


    sécurité logiciel et matériel

    Appliquer une politique de

    un firewall contrôle d’accès


    Appelé aussi “ACL”

    Enregistrer le trafic
    Pour analyser ou contrôler
    Protéger contre l’intérieur
    Les utilisateurs peuvent
    toujours passer outre !

    Protéger le réseau d’un

    Ce que ne peut trafic qui ne passe pas par


    lui

    pas faire un
    Dans le cas d’un modem annexe
    par exemple

    firewall
    Se configurer tout seul
    Une intervention humaine est
    nécessaire

    Protéger des virus


    Modes de configuration
    Tout interdire par défaut

    ● Tout ce qui n’est pas explicitement autorisé est interdit

    Comment mettre en oeuvre cette politique ?

    1- Analyser des services utilisés (serveur web, mail)

    2- Définir les droits à donner

    Avantage : Solution sécuritaire la plus recommandée et


    utilisée
    Tout autoriser par défaut

    ● Tout ce qui n’est pas explicitement interdit est autorisé

    Comment mettre en oeuvre cette politique ?

    1- On analyse les différents risques liés aux applications

    2- On en déduit les interdictions à appliquer

    Cette solution est inconfortable pour les admin système


    Outils des firewall
    Filtre de paquets et segments

    Concerne le trafic échangé aux niveaux IP (Les paquets) et


    TCP/UDP (Les segments)

    Possibilité de créer des règles autorisant ou refusant un


    transfert combinant les infos disponibles : adresses
    sources, destination, …

    C’est une solution peu coûteuse et simple mais n’agit qu’aux


    niveaux 3 et 4 (Transport et Internet/Réseau)
    Le screening router
    Le filtre proxy

    Analyse le trafic échangé au niveau applicatif et applique


    une politique de sécurité pour chaque application

    Un serveur proxy est nécessaire pour chaque protocole


    applicatif, il faut interpréter les messages différemment
    pour chaque protocoles

    Contrôle les droits de chaque utilisateurs

    Solution qui cible de manière chirurgicale mais coûteuse car


    on doit définir des droits complexes
    Hôte à double réseau

    Solution dite “Dual homed host”

    L’hôte possède au moins deux interfaces réseaux qui


    interconnecte au moins deux réseaux

    C’est un proxy incontournable car si un hôte connecte deux


    sous réseaux et si le routage est désactivé, un paquet ne
    peut pas passer d’un réseau à un autre sans être traité sur
    la couche applicatif, il est cependant vulnérable point de
    vue gestion de comptes
    Le bastion

    C’est un hôte dit “exposé”, il constitue un point de contact


    entre le réseau externe et interne

    C’est un serveur pour un ensemble de services (HTTP, DNS) il


    peut relayer les requêtes vers d’autres serveurs après avoir
    effectué un contrôle d’accès

    Un bastion peut servir d’appât dans la détection d’intrusion


    et piéger un attaquant
    Le bastion schématisé
    La Zone Démilitarisée (DMZ)

    Une DMZ est souvent situé sur un sous-réseau entre internet


    et les utilisateurs et souvent entre deux routeurs
    filtrants. Elle propose le stockage de ressources ou
    services qui bénéficient d’un accès limité au LAN,
    garantissant leurs visibilité depuis internet mais pas sur
    le LAN interne. On peut coupler une DMZ et un bastion, mais
    la solution est coûteuse
    La Zone Démilitarisée (DMZ) schématisée
    Réalisation

    Identifiez les principaux services internet à


    contrôler !

    Vous aimerez peut-être aussi