Académique Documents
Professionnel Documents
Culture Documents
- ACL
Les ACL opèrent selon un ordre séquentiel et logique, en évaluant les paquets à partir du début de la liste. Dès qu’une règle est appliquée, le reste de l’ACL est ignorée. Il
faut faire attention lors de la conception des ACL : tout trafic ne correspondant à aucune règle est rejeté.
A(config)# int IX
A(config-if)# ip access-group no de l’ACL (in ou out)
La liste no de l’ACL est placée à l'interface IX de A. On peut l'appliquer dans la direction in c'est à dire la direction entrante à l'interface ou out dans sa direction sortante.
On traduit cette configuration par le suivant : Cette liste concerne le protocole UDP, la source est un hôte ayant une adresse IP 192.168.10.10 et on lui interdit
l'accès à l'adresse IP 192.168.20.11 qui est celle d'un serveur tftp. On sait que UDP est le protocole de couche supérieure qui supporte le service TFTP. La nouveauté ici
Copyright - Tout droit réservé - OFPPT 61
04 – Les Pare-feu
- Les ACL nommés
Exemple :
Parfeu
Un pare-feu surveille simplement le trafic entrant et sortant sur un appareil, en recherchant tout signe d’activité malveillante. S’il détecte quelque chose de
suspect, il le bloque instantanément pour l’empêcher d’atteindre sa destination.
C’est un gros système de filtration pour votre ordinateur ou votre serveur.
Lorsqu’ils ont été mis au point, les pare-feu étaient de très simples analyseurs de paquets qui autorisaient ou bloquaient le trafic entrant en fonction d’un
ensemble minimal de règles prédéfinies. Ils étaient très faciles à contourner.
De nos jours, ils ont évolué en des éléments de programmation complexes qui sont bien plus efficaces pour empêcher les tentatives d’intrusion et constituent
un élément de logiciel essentiel pour tous les appareils.
• Ce pare-feu inspecte chaque paquet et lui accorde le passage uniquement s’il répond à une liste de règles prédéterminées, qui se basent sur l’adresse IP source et
destinataire, le numéro de port source et destinataire, et les protocoles de couche 3 et 4.
• Le problème, c’est que la configuration des pare-feu sans état est complexe, et que ce dispositif ne permet pas d’obtenir une finesse de filtrage très évoluée.
• Il est donc en train de devenir obsolète, même s’il est encore utilisé sur certains systèmes d’exploitation et routeurs.
• Le pare-feu avec état a également de la mémoire : il garde une trace des sessions et des connexions, et réagit en cas d’anomalie. Contrairement à son
prédécesseur, il permet ainsi de se protéger de certaines attaques DoS.
Le pare-feu applicatif
• Le pare-feu applicatif appartient à la dernière génération de firewalls. Il fonctionne au niveau de la couche application : par exemple, chaque requête de
type http est filtrée par un processus proxy http. Le pare-feu rejette ainsi toutes les requêtes non conformes aux spécifications du protocole.
• Ce type de pare-feu est plus sûr que le pare-feu avec état, mais est très gourmand en temps de calcul dès que le débit est important. Dans les années à
venir, il devrait gagner en performance.
Le pare-feu identifiant
• Le pare-feu identifiant réalise des associations entre l’IP et les utilisateurs, et permet de suivre l’activité réseau par utilisateur.
• Les règles de filtrage sont ainsi définies en fonction de l’identification, et non des adresses IP.
• Selon les pare-feu, plusieurs méthodes différentes sont utilisées, dont l’identification par authpf, les pare-feu entièrement basés sur l’identité, ou la
création de règles dynamiques prenant en compte l’identité de l’utilisateur et de son poste, ainsi que son niveau de sécurité informatique.
• NGFWs sont en mesure d’empêcher les logiciels malveillants d’entrer dans un réseau,
quelque chose que les pare-feu traditionnels ne serait jamais en mesure d’atteindre. Ils
sont mieux équipés pour faire face aux menaces persistantes avancées (API).
• NGFWs peut être une option à faible coût pour les entreprises qui cherchent à améliorer
leur sécurité de base, car ils peuvent intégrer le travail des antivirus, pare-feu, et
d’autres applications de sécurité dans une solution. Les caractéristiques de ceci incluent
la sensibilisation d’application, les services d’inspection, aussi bien qu’un système de
protection et un outil de conscience qui bénéficient à l’offre à toutes les chances.
Serveur proxy
Un serveur proxy, appelé également serveur mandataire, est un serveur qui jouera le rôle
d'intermédiaire entre un client et un serveur distant. Par exemple, entre les ordinateurs connectés au
réseau local d'une entreprise et Internet (et ses milliards de sites).
Jouer le rôle d'intermédiaire entre deux hôtes, c'est-à-dire ? Dans quel but ? En se positionnant entre le
client source et le serveur cible, le serveur proxy va pouvoir réaliser plusieurs actions :
Filtrage, ce qui va permettre de bloquer certains sites ou certaines catégories de sites.
Cache, ce qui va permettre de mettre en cache les requêtes (exemple : page web) afin de les
retourner plus rapidement aux postes de travail.
Compression, ce qui va permettre de réduire le poids des pages au moment de retourner le
résultat aux clients.
Journalisation, toutes les requêtes reçues de la part des clients (postes de travail) seront
stockées dans des journaux (logs).
Anonymat, puisque votre poste de travail se cache derrière le proxy, le serveur Web verra
seulement le proxy.
Droits d'accès, puisque le proxy est un intermédiaire, il peut servir à positionner des droits
d'accès pour filtrer les accès, au-delà du filtrage Web.
Un proxy (classique) :
Le proxy doit être déclaré sur le poste client afin que ce dernier soit configuré de manière à passer par le
proxy lorsqu'une requête est envoyée, plutôt que de contacter directement l'hôte distant. Si le serveur
proxy n'est pas configuré sur le poste client, alors la requête sera envoyée directement au serveur
distant, comme si le serveur proxy n'existait pas.
Il y a plusieurs façons d'intégrer un serveur proxy dans une infrastructure. Cela peut être en DMZ,
comme ça les postes clients contactent le serveur proxy isolé, et c'est ce serveur qui se connecte à
Internet, et non les postes clients directement. Dans certains cas, la fonction de proxy est assurée
directement par le pare-feu et donc dans ce cas, il n'y a pas la notion de DMZ (voir second schéma).
Lors de l'utilisation d'un proxy transparent, appelé aussi proxy implicite, le proxy ne doit pas être
configuré sur le poste et ce dernier l'utilisera sans s'en rendre compte, car le proxy sera utilisé comme
passerelle au niveau de la configuration du poste client. C'est la configuration idéale pour filtrer le trafic
émis par les postes clients.
Dans ce cas, la fonction de pare-feu et de serveur proxy transparent sont généralement regroupée sur
un même serveur/équipement. Même si l'on pourrait mettre le serveur proxy transparent sous le pare-
feu, et que les trames soient relayées entre le proxy et le pare-feu.
en utilisant un serveur proxy il est possible d'être anonyme vis-à-vis du site que l'on visite, mais il faut
savoir que le proxy va garder une trace de toutes les requêtes que vous lui envoyez. Autrement dit, il
connaîtra tout votre historique de navigation. Pour être réellement anonyme sur Internet, la meilleure
méthode consiste à utiliser un VPN.
Pour contourner cette restriction, vous pouvez vous appuyer sur un proxy externe situé sur Internet. De
cette façon, votre PC va demander au proxy d'accéder au site "domaine.xyz" et le proxy va vous
retourner le résultat. La requête n'est pas bloquée, car vous contactez le proxy et non pas le site en
direct. On obtient le schéma suivant :
Attention, la requête n'est pas bloquée par le pare-feu si l'on passe par un proxy, mais cela dépend de la
configuration du pare-feu, et éventuellement du proxy :
Si le pare-feu effectue du filtrage DNS ou de site Web, il y a de fortes chances qu'il bloque une
liste de proxy connu pour être utilisé pour contourner les restrictions.
Si le proxy écoute sur un port particulier comme le 3128 ou le 8080 et que le pare-feu n'autorise
pas ces ports en sortie vers Internet, la connexion vers le proxy ne pourra pas aboutir.
comment configurer le proxy sur un parc informatique complet sans effectuer la configuration à la
main... Dans ce cas, vous avez plusieurs solutions :
Utiliser une GPO pour déployer les paramètres de configuration du proxy sur les postes (au
niveau de Windows ou des navigateurs)
Utiliser une GPO pour préciser l'emplacement d'un script d'auto-configuration du proxy
("proxy.pac") qui contient une fonction JavaScript "FindProxyForURL" dont l'objectif est
d'indiquer si, pour une URL précise, le navigateur doit accéder au site directement ou s'il doit
passer par le proxy. Le fichier doit porter l'extension "PAC" pour "Proxy Automatic Configuration".
Squid est un logiciel qui permet de monter un proxy (et même un reverse proxy) sous Linux, il est
performant et très célèbre. Il est toujours maintenu aujourd'hui et sa première version date de juillet
1996 ! Si vous montez un pare-feu avec PfSense, il est possible d'installer le paquet "Squid" pour
ajouter la fonctionnalité de proxy à son pare-feu. En complément, l'installation du paquet "Squid-
Guard" permettra d'effectuer du filtrage Web.
Au niveau des solutions payantes, il y a deux solutions assez connues : Olfeo et UCOPIA.