Les Firewalls / Sécurité informatique
-
Upload
sylvain-maret -
Category
Technology
-
view
2.477 -
download
7
description
Transcript of Les Firewalls / Sécurité informatique
![Page 1: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/1.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les Firewalls
Sylvain Marete-Xpert Solutions SA
![Page 2: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/2.jpg)
Solutions à la clef
Les firewalls: définition de base
Outil de contrôle des communications réseaux Agit comme un filtre Contrôle en temps réel les communications
Trois grandes familles Packet Filter (niveau 3) Proxy ou relais applicatifs (niveau 7) Stateful Inspection (niveau 3)
Outil de base de la sécurité… N’est plus suffisant !
![Page 3: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/3.jpg)
Solutions à la clef
Les firewalls
Les services standards du firewall Contrôle d’accès Accounting Authentification Translation d’adresse (NAT)
Les autres services VPN IDS Authentification Contrôle de contenu (AV, filtrage d’URL, Code mobile, etc.) Haute disponibilité Etc.
![Page 4: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/4.jpg)
Solutions à la clef
Exemple d’implémentation
![Page 5: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/5.jpg)
Solutions à la clef
Firewall « packet filter »
Source: Checkpoint 2002
![Page 6: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/6.jpg)
Solutions à la clef
Packet Filter: Screening Routers
1er approche (connexion Internet) Séparation réseau interne de l’internet
Basé sur les routeurs Travail au niveau 3 et 4 (Modèle OSI) Complexe à maintennir
![Page 7: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/7.jpg)
Solutions à la clef
Critère de sélection pour le filtrage
Protocole IP (TCP, UDP, ESP, AH, etc.) IP Destination IP Source Port Destination Port Source Interface
Outside, Inside Sens (inbound, outbound)
![Page 8: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/8.jpg)
Solutions à la clef
Exemple de règles firewall
![Page 9: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/9.jpg)
Solutions à la clef
Exemple de règles firewall
![Page 10: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/10.jpg)
Solutions à la clef
Exemple avec FTP (non PASV)
Data Connection port 1080;20
1
21050;21
3
4
Control Connection port 21;1050
20;1080
192.168.100.100
Any external IP
![Page 11: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/11.jpg)
Solutions à la clef
Exemple !
Action Source Source Port
Dest Dest Port
Allow 192.168.100.100
* * 21
Allow * 20 192.168.100.100
> 1024
Block * * * *
![Page 12: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/12.jpg)
Solutions à la clef
Exemple avec un Cisco: Choke Router
![Page 13: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/13.jpg)
Solutions à la clef
Config Cisco
![Page 14: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/14.jpg)
Solutions à la clef
Firewall « proxy »
Source: Checkpoint 2002
![Page 15: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/15.jpg)
Solutions à la clef
Firewall « Stateful Inspection »
Source: Checkpoint 2002
![Page 16: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/16.jpg)
Solutions à la clef
Exemple de Checkpoint
Application
Presentation
Session
Transport
Data Link (HW IF)
HW Connection
Network
1
2
3
4
5
6
7
FW-1
IP TCP Session Application
PacketMatchesRule?
Log/Alert
Pass thePacket
?
Next Rule
Send NACK
Drop the Packet
Yes
Yes
No
No
No
The Inspection Module is located inside the Operating System Kernel - between the device driver and the IP stack.
![Page 17: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/17.jpg)
Solutions à la clef
Exemple avec FTP: stateful inspection
Source: Checkpoint 2002
![Page 18: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/18.jpg)
Solutions à la clef
Exemple de règles firewall: Checkpoint
![Page 19: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/19.jpg)
Solutions à la clef
Exemple de « log » avec Checkpoint
![Page 20: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/20.jpg)
Solutions à la clef
Translation d’adresses: « NAT »
Mécanisme de modification des adresses IP source ou/et destination
Eventuellement changement des ports: PAT NAT « Static »
1 vers 1 En source ou en destination
NAT « Hide » N vers 1 Utilise de la PAT Utiliser pour cacher un réseau (accès Internet)
![Page 21: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/21.jpg)
Solutions à la clef
Static Source
![Page 22: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/22.jpg)
Solutions à la clef
Stactic Destination
![Page 23: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/23.jpg)
Solutions à la clef
Hide
![Page 24: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/24.jpg)
Solutions à la clef
Authentification
![Page 25: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/25.jpg)
Solutions à la clef
VPN site à site
![Page 26: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/26.jpg)
Solutions à la clef
VPN Remote Users
![Page 27: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/27.jpg)
Solutions à la clef
Firewalls: tendance des Appliances
Concept de « black box » Est considéré comme un élément classique du
réseau Routeur, Switchs, RAS, etc.
Facilité d’exploitation Facilité d’utilisation Niveau de sécurité élevé Gestion par SSL et/ou SSH Performance OS de type Unix / Linux
![Page 28: Les Firewalls / Sécurité informatique](https://reader035.fdocuments.net/reader035/viewer/2022062313/5577fcdfd8b42aa5488b45a1/html5/thumbnails/28.jpg)
Solutions à la clef
Case Studie
Entreprise connexion sur Internet Mail server DNS Web Server Surfing HTTP
Proxy Contrôle de Virus VPN Remote Users