LES TECHNOLOGIES

1
LES TECHNOLOGIES

• DUDIN Aymeric
• MARINO Andrès

2
Contexte et Menaces

• Sécurité et intégrité de réseaux et de systèmes
• Connexion d'un réseau privé à un autre
• Interne ou externe à l'entreprise
• Prévention contre l'accès non autorisé à des
  données et à des ressources privées
• Prévention de l'exportation ou de limportation
  de données privées.
• Journalisation du trafic des données
• Journalisation de toute tentative d'accès

3
Garde-barrière

• Intercepte et contrôle le trafic entre réseaux à
  différents niveaux de confiance
• Fait partie du périmètre de défense d'une
  entreprise ou d'une organisation
• Met en oeuvre une partie de la politique de
  sécurité
• Fournit des éléments d'audit

4
Rôle Firewall ?

• Permettre des accès légitimes et rejeter les
  demandes d'accès non autorisés
• Permettre des connexions plus sûres depuis un
  réseau ouvert tel que Internet
• Auditer l'utilisation des ressources réseaux
  ainsi que les tentatives d'accès
• Connecter des réseaux internes ayant un plan
  d'adressage non officiel
• Point d'entrée et de contact unique pour une
  entreprise, entité ou organisation
• Ex firewall.univ-lyon1.fr

5
Schéma
Réseau local
Internet
6
Schéma
Réseau local
Garde Barrière
Internet
7
Règles de Sécurité

• Tout ce qui nest pas interdit est autorisé
• Le garde-barrière interdit les services réseaux
  qui sont connus pour présenter des risques ou
  constituer une menace
• Les utilisateurs sont susceptibles de
  d'introduire des systèmes présentant des failles
  dans le domaine de la sécurité
• Tout ce qui nest pas autorisé est interdit
• Le garde-barrière interdit tout par défaut
• L'administrateur doit valider l'utilisation de
  chaque service réseau
• Implicitement, cela revient à "brider"
  l'utilisateur

8
Techniques de filtrage

• Filtre de paquets
• IP
• Firewall de niveau circuit (couche transport)
• TCP
• Firewall de couche application
• Services proxy
• Filtre dynamique de paquets
• UDP

9
Filtre de paquets

• Traitement des paquets selon plusieurs critères
• Adresse(s), options d'en-tête, champs de niveaux
  supérieurs
• Port TCP
• Connexion directe extérieur/intérieur
• Pas de possibilité de masquage d'adresse
• Nécessité de protéger chaque serveur interne
  susceptible de communiquer avec un client externe
• Restrictions
• Journalisation et alarmes peu précises
• Pas d'authentification
• Modification "simple" des règles de filtrage qui
  créent des brèches dans la politique de sécurité

10
Filtre de paquets
Pile réseau
Paquets propagés
Ex IP 134.214.88. 21
Filtre de paquets
Liste de règles
Paquets entrants
11
Firewall de niveau circuit(couche transport)

• Relais de connexions TCP ou UDP
• Restrictions
• Généralement, utilisation de l'intérieur vers
  l'extérieur
• Peu ou pas d'authentification
• Journalisation et audit non spécifiques
• Nécessite généralement de modifier les clients
  afin de s'appuyer sur un protocole particulier
  pour dialoguer avec le garde-barrière

12
Firewall de niveau circuit

• Vérification du protocole
• Contrôle des circuits ouverts
• Ouverture/Fermeture dun circuit

Liste des circuits ouverts

• État de la session
• Adresses source/destination
• Interface physique

Paquets entrants
Paquets propagés
13
Proxy/application Gateway

• Les Proxy-application Gateways sont utilisables
  pour différents types de trafic
• "Store forward" FTP, SMTP, ...
• Interactif Telnet, ...
• Les proxies sont spécifiques pour chaque
  application (service) et peuvent journaliser et
  auditer tout trafic associé.
• Les proxies peuvent être conçus en intégrant un
  mécanisme d'authentification supplémentaire.
• Les serveurs peuvent jouer d'autres rôles.
• Relais SMTP, ...
• Serveur DNS, FTP, NNTP, ...

14
Proxy/application Gateway
Serveur réel
Internet
Protocole danalyse
Réseau local
Serveur proxy
Client proxy
Journaux d'audit
Client réel
15
Proxy/application Gateway

• Journalisation détaillée possible jusqu'au détail
  de la session
• Politique de sécurité plus facile à implémenter
• Authentifications possibles

16
Proxy/application Gateway

• Temps de latence plus élevé qu'avec des filtering
  gateways
• Parfois moins de transparence
• Tout service n'est pas forcément supporté
• Authentification
• Délais entre le developpement dun nouveau
  protocole et du proxy associé

17
Filtrage dynamique de paquets

• Appliqué à UDP, ICMP
• Associé à un filtre de paquets
• Méthode
• Requête sortante
• Établissement dun circuit virtuel temporaire
• Attente de réponse
• Effacement du circuit

18
Architecture Firewall

• Problèmes des performances de sécurité et de
  débit.
• Une seule machine effectue tout le travail
• Adaptation du type de filtrage aux besoins
• Simple filtrage de paquet ou filtrage
  dapplication
• Découpage des taches sur plusieurs serveurs.
• Plusieurs firewall, en parallèle ou en série.

19
Firewall avec routeur de filtrage
Routeur
INTERNET
Réseau interne
Filtrage de paquets.Avantage peu coûteux,
rapide Inconvénient filtrage peu
 intelligent , unique rempart.
20
Passerelle double ou réseau bastion
Passerelle double
INTERNET
Hôte bastion
Réseau interne
Lhôte bastion cumule les fonctions de filtrage,
de PROXY, de passerelle applicative et daudit.
21
Firewall avec réseau de filtrage
Routeur
Hôte bastion
Internet
Le routeur ne permet la communication depuis
Internet qu'avec lhôte bastion.
22
Firewall avec sous-réseau de filtrage
Hôte bastion
Réseau DMZ
Routeur
Réseau interne
Internet
Routeur
Le routeur externe ne permetles communications
Internetqu'avec le Bastion
Le routeur interne ne permet les communications
internes qu'avec le Bastion
23
Conclusion

• Limites physiques débits / sécurité
• Limites économiques Firewall clef en main et
  télémaintenance
• Firewall une solution efficace, mais une
  vigilance constante.

24
QUESTIONS ?