Scribd Logo
Importer

Bienvenue sur Scribd !

  • Firewall

    Transféré par

    Hamous Touihri
    94 vues30 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PPT, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PPT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    94 vues30 pages

    Firewall

    Transféré par

    Hamous Touihri

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PPT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 30

    DESS Rseaux 2000/2001

    Christophe LEITIENNE Mathieu TRUCHET Laurent THEVENARD

    Les Firewall

    Rle du firewall
    Attaques et outils associs Technologie : les diffrents types de firewall Architecture dun rseau avec firewall Produits professionnels Exemples

    Problmatique, Enjeux
    Problmatique Attaques et Outils associs

    Technologie
    Architectures Outils, Cots Exemples Avenir
    Communications autorises Communications refuses Internet

    Rseau local

    Pourquoi un Firewall
    Problmatique Attaques et Outils associs

    Technologie
    Architectures Outils, Cots Exemples Avenir
    Controler le trafic sortant Vigilance Internet Scuriser le trafic entrant

    Rseau local

    Couches de protocoles
    Problmatique Attaques et Outils associs

    Technologie
    Architectures Outils, Cots Exemples Avenir

    Telnet

    FTP TCP

    HTTP UDP

    Internet Protocol (IP) / ICMP Couches basses

    Dni de service
    Problmatique Attaques et Outils associs

    Dni de service
    Spoofing IP Scanners Autres Technologie Architectures Outils, Cots Exemples Avenir
    ACK SYN, ACK machine A (client) SYN machine B (serveur)

    Spoofing IP
    Problmatique Attaques et Outils associs

    Dni de service
    Spoofing IP Scanners Autres Technologie Architectures Outils, Cots Exemples Avenir
    Machine B Machine dattaque (H)

    Machine attaque (A)

    Les Scanners
    Problmatique Attaques et Outils associs

    Dni de service
    Spoofing IP Scanners Autres Technologie Architectures Outils, Cots Exemples Avenir

    Fonctionnement des scanners 1. 2. 3. Localiser une machine sur un rseau Dtecter les services excuts sur la machine Dtecter dventuelles failles

    Autres outils
    Problmatique Attaques et Outils associs

    Dni de service
    Spoofing IP Scanners Autres Technologie Architectures Outils, Cots Exemples Avenir

    1. 2. 3. 4. 5. 6. 7.

    Ping SNMP WhoIs DNS Finger Host TraceRoute

    Firewall filtrage de Paquets


    Problmatique Attaques et Outils associs

    Technologie
    Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

    Fonctionnement du filtrage de paquets


    Problmatique Attaques et Outils associs

    Fonctionnement
    Fait souvent partie dun routeur Chaque paquet est compar un certain nombre de rgle (filtres), puis est transmis ou rejet

    Technologie
    Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

    Avantages

    Cest un firewall transparent


    Apporte un premier degr de protection sil est utilis avec dautres firewall

    Inconvnients
    Dfinir des filtres de paquets est une tche complexe Le dbit diminue lorsque le nombre de filtres augmente

    Rgles de filtrage
    Problmatique Attaques et Outils associs

    Filtrage selon :

    Technologie
    Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

    l'adresse IP de la source et de la destination,


    le protocole, le port source et destination pour les protocoles TCP et UDP, le type de message pour le protocole ICMP, et linterface physique dentre du paquet

    Circuit Level Gateways


    Problmatique Attaques et Outils associs

    Technologie
    Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

    Fonctionnement du Circuit Level Gateway


    Problmatique Attaques et Outils associs

    Fonctionnement

    Technologie
    Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

    Capte et teste la validit des handshake TCP pour savoir si une session peut tre ouverte
    Cest un firewall transparent Il cache les machines du rseau priv

    Avantages

    Proxy
    Problmatique Attaques et Outils associs

    Technologie
    Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

    Fonctionnement du Proxy
    Problmatique Attaques et Outils associs

    Fonctionnement
    Similaire au Circuit Level Gateway Spcifique une application

    Technologie
    Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

    Avantages
    Les paquets entrants et sortants ne peuvent accder aux services pour lesquels il ny a pas de proxy Permet de filtrer des commandes spcifiques (ex: GET ou POST pour HTTP) Le plus haut degr de scurit

    Inconvnients
    Les performances les plus faibles Nest pas transparent pour les utilisateurs

    Firewall Multi-couches
    Problmatique Attaques et Outils associs

    Technologie
    Filtrage de paquets Circuit Level Gateway Proxy Firewall Multi-couches Architectures Outils, Cots Exemples Avenir

    Routeur filtrage de paquets


    Problmatique Attaques et Outils associs

    Technologie
    Architectures Routeur filtrage de paquets Dual Homed Gateway
    mail, dns, etc. Internet

    Screened Host Firewall


    Screened Subnet Firewall Outils, Cots Exemples Avenir
    Rseau local avec serveurs

    Dual Homed Gateway


    Problmatique Attaques et Outils associs

    Technologie
    Architectures Routeur filtrage de paquets Dual Homed Gateway
    Routeur Internet

    Screened Host Firewall


    Screened Subnet Firewall Outils, Cots Exemples Avenir
    Rseau local avec serveurs IP forwarding dsactiv

    Screened Host Firewall


    Problmatique Attaques et Outils associs

    Technologie
    Architectures Routeur filtrage de paquets Dual Homed Gateway
    Internet

    Screened Host Firewall


    Screened Subnet Firewall Outils, Cots Exemples Avenir
    Bastion host Rseau local avec serveurs

    Screened Subnet Firewall


    Problmatique Attaques et Outils associs

    Technologie
    Architectures Routeur filtrage de paquets Dual Homed Gateway
    Internet

    Screened Host Firewall


    Screened Subnet Firewall Outils, Cots Exemples Avenir
    Rseau local avec serveurs Bastion host Zone dmilitarise

    Outils, Cots
    Problmatique Attaques et Outils associs

    Technologie
    Architectures Outils, Cots Exemples Avenir

    Noyau Linux

    GNU

    Gratuit

    Firewall a filtrage de paquets Proxy FTP/HTTP

    Proxy Squid

    GNU

    Gratuit

    Check Check Point Software Point Technologies Firewall 1 www.checkpoint.com Eagle Family Raptor Systems www.axent.com

    56000F Leader (100 Contrle utilisateurs) Temporel 45000F (100 utilisateurs)

    Exemple Firewall et Pont


    Problmatique Attaques et Outils associs

    Technologie
    Architectures Outils, Cots Exemples Firewall+Pont HOWTO Bat710 Avenir
    Fournisseur daccs/ Internet

    Rseau local

    Firewall/Proxy

    Pont

    Exemple Firewall-HOWTO
    Problmatique Attaques et Outils associs

    Technologie
    Architectures Outils, Cots Exemples Firewall+Pont HOWTO Bat710 Avenir

    Internet (MAUVAIS)

    ppp0 : 192.84.219.1

    eth0 : 192.84.219.250 eth1 : 192.168.1.250

    SMTP

    DNS Rseau de serveurs (Zone Dmilitarise - ZDM)

    Proxy HTTP, FTP

    Rseau local (BON)

    Exemple Bat710
    Problmatique Attaques et Outils associs
    NT Workstation Linux

    Technologie
    Architectures Outils, Cots Exemples Firewall+Pont HOWTO Bat710 Avenir
    Miage Samba, Proxy HTTP, FTP, News, HTTPS Internet bat710 SMTP, POP3 Rseau du batiment 710 NFS

    Conclusion
    Problmatique Attaques et Outils associs

    Technologie
    Architectures Outils, Cots Exemples Avenir

    Autres lments de protection


    VPN IPSec NAT (Network Address Translation) Anti-virus

    Bibliographie
    Problmatique Attaques et Outils associs

    Technologie
    Architectures Outils, Cots Exemples Avenir

    Regroupements dinformation sur les firewall en anglais www.firewall.com Documents sur les firewall en franais www.chez.com/firewalls xtream.online.fr/project/securite.html

    FAQ sur les firewall www.vicomsoft.com/knowledge/reference/firewalls 1.html

    HOWTO IPCHAINS Bridge+Firewall

    Paquet IP
    Problmatique Rappels techniques

    Couches
    IP ICMP TCP Attaques et Outils associs Technologie Architectures Outils, Cots Exemples Avenir
    options TTL Protocole @ source @ destination Checksum Version IHL TOS Flags Version Offset

    Identification

    Paquet ICMP
    Problmatique Rappels techniques

    Couches
    IP ICMP TCP Attaques et Outils associs Technologie Architectures Outils, Cots Exemples Avenir
    Type Code CheckSum

    Type: 8: Echo 0: Rponse Echo

    Paquet TCP
    Problmatique Rappels techniques

    Couches
    IP ICMP TCP Attaques et Outils associs Technologie Architectures Outils, Cots Exemples Avenir
    options Data Offset Reserv CheckSum Ack Number Flags Window Urgent Pointer Port Source Sequence Number Port Destination

    Connexion TCP
    Problmatique Rappels techniques

    Couches
    IP ICMP TCP Attaques et Outils associs Technologie Architectures Outils, Cots Exemples Avenir
    ACK SYN, ACK machine A (client) SYN machine B (serveur)

    Vous aimerez peut-être aussi