les firewalls patrick proy sébastien mathon dess réseaux - promotion 1999/2000
Post on 03-Apr-2015
112 Views
Preview:
TRANSCRIPT
Les FirewallsLes Firewalls
Patrick PROY
Sébastien MATHON
DESS Réseaux - promotion 1999/2000
Plan de la présentationPlan de la présentation
Besoins
Stratégies
Qu’est-ce qu’un firewall ?
Marché
Techniques de filtrage
Besoins - Risques de l’InternetBesoins - Risques de l’Internet
le réseau interneles serveurs Internetla transmission de donnéesla disponibilité
Menaces contre
CERT: Computer Emergency Response Team
Besoins - ProtectionBesoins - Protection
Confiance entre réseaux ?Points de contrôle
– au sein de l ’entreprise– connexion Internet
Besoins - LimitationsBesoins - Limitations
« Social Engineering »Défense de périmètre
Un firewall n ’est pas suffisant !
Qu’est-ce qu’un Firewall ?Qu’est-ce qu’un Firewall ?
Ensemble de composants ou système placé entre deux réseaux et possédant les propriétés suivantes:– Tout trafic de l'intérieur vers l'extérieur, et
vice-versa, doit passer par lui;
– Seul le trafic autorisé, défini par la politique de sécurité, est autorisé à passer à travers lui;
– Le système lui-même est hautement résistant à toute pénétration.
Techniques Firewall : le filtreTechniques Firewall : le filtre
Examen des datagrammes– d’après des règles précises portant
sur• l ’@ source• l ’@ destination• le protocole utilisé
Niveau 3 de l’ OSI
Techniques Firewall : le filtre (2)Techniques Firewall : le filtre (2)
Avantages
– Le gain de temps en terme de mise en place du routeur
– Le coût généralement faible d ’un routeur filtrant
– Les performances de ces routeurs sont généralement bonnes
– Les routeurs filtrants sont transparents aux utilisateurs et aux applications
Techniques Firewall : le filtre (3)Techniques Firewall : le filtre (3)
Inconvénients
– L'élaboration de règles de filtrage peut être une opération pénible.
– Le routeur filtre de paquets ne protège pas contre les applications du type Cheval de Troie.
– Choix parfois crucial entre performance et sécurité.
– Il n ’y a pas d’analyse des services.
Techniques Firewall : la passerelleTechniques Firewall : la passerelle
Système relayant des services entre 2 réseaux (connexions TCP)
machine.ici.dom gateway.ici.dom x.ailleurs.com
1891
20457411
1525
Techniques Firewall : la PNATechniques Firewall : la PNA
Service logiciel (service proxy )
1
1. Demande du service TELNET
2
2. Vérification de l ’identité via une machine interne
proxy
machine sur Internet
3
3. Connexion TELNET créée
passerelle de niveau applicationpasserelle de niveau application
Techniques Firewall : la PNA (2)Techniques Firewall : la PNA (2)
Le Bastion Host : armé et protégémise en œuvre
– version sécurisée de l ’OS. – un ensemble limité de services proxy. – un système d'authentification de haut niveau.– accès à un sous-ensemble des commandes standards de
l'application.– accès à un système hôte spécifique. – programmes de petite taille
• détection des bugs et des faiblesses• mail UNIX: 20000 lignes de code / proxy:1000
passerelle de niveau applicationpasserelle de niveau application
Techniques Firewall : la PNA(3)Techniques Firewall : la PNA(3)
Avantages– contrôle complet sur chaque service. – authentification extrêmement poussées. – audit des détails des connexions.
– règles de filtrage faciles à configurer et à tester. Inconvénients
– augmentation considérable du coût du firewall. – réduction de la qualité du service offert aux utilisateurs.– diminution de la transparence du système. – installation de logiciels spécialisés sur chaque système
accédant à des services proxy.
passerelle de niveau applicationpasserelle de niveau application
Techniques Firewall : la PNCTechniques Firewall : la PNC
Relais de connexions TCP agit comme un filLes connexions semblent être
originaires du Firewallconnexions sortantesutilisation facile d’emploi
passerelle de niveau circuitpasserelle de niveau circuit
Techniques Firewall : V.P.N.Techniques Firewall : V.P.N.
Firewall à firewall Souvent des protocoles propriétairesCryptage et décryptage
Virtual Private NetworkVirtual Private Network
Stratégie : DécisionStratégie : Décision
Ce qui n'est pas explicitement permis est interdit;
Ce qui n'est pas explicitement interdit est permis.
Stratégie : CraintesStratégie : Craintes
Failles de sécurité :– Destruction
– Zones de risques : centraliser sur le firewall
Stratégie : Architectures FirewallStratégie : Architectures Firewall
simple routeur filtre entre Internet et le réseau privé
règles de filtrage simples– accès facile à Internet (de l ’intérieur)
– accès limité au réseau (de l ’extérieur)
Filtrage de paquets par routeur
Stratégie : Architectures FirewallStratégie : Architectures Firewall
Single-Homed Bastion Host
Screened Host Firewall
Trafic bloqué
Trafic permis
InternetRéseauprivé
hôtes
Bastion
Stratégie : Architectures FirewallStratégie : Architectures Firewall
Dual-Homed Bastion Host
Screened Host Firewall
Internet Réseau privé
Bastion
Stratégie : Architectures FirewallStratégie : Architectures Firewall
La Zone Démilitarisée (DMZ)
InternetRéseauprivé
Web
FTP
Bastion
filtre filtre
Stratégie : D.M.Z.Stratégie : D.M.Z.
Avantages– 3 systèmes de protection à franchir. – Seule la D.M.Z. est visible de l ’extérieure. – Translations d ’adresses.
Inconvénients– Coûteuse. – Compliquée.– Manque de transparence.
Demilitarized ZoneDemilitarized Zone
Firewall : Matériel ou logicielFirewall : Matériel ou logiciel
Matériel– En général niveau 3 ou 4. – Coûteux mais rapide et simple à administrer.– Manque de transparence, bugs.
Logiciel– En général bastion host. – Plus d ’administration mais plus de transparence.– Mise à jour simple.
Les acteurs du marchéLes acteurs du marché
Axent Check Point Cyberguard Fore Lucent
Netscreen Network Associates Novell Secure Computing
PerformancesPerformances
RéférencesRéférences
http://www.icsa.netMarcus J. Ranum,
« Thinking about Firewalls »
Bon stage à toutes et à tous !!!
top related