PARE-FEU
Un système (Matériel ou
Logiciel) permettant de protéger un serveur
ou un réseau d'ordinateurs
des intrusions provenant d'un réseau tiers (Internet).
Passerelle filtrante
comportant au minimum les interfaces réseau suivantes :
Une interface pour le réseau
interne à protéger inside
Une interface pour le réseau
externe outside.
Actions de firewall :
accept – reject – drop – client auth
Le firewall doit empêcher la propagation d’une attaque, tout en laissant passer
le trafic utile, se constitué d’un ou plusieurs équipements.
Principe de base (simplicité, la défense en profondeur, interdiction
par défaut, participation des utilisateurs)
Principe de
moindre privilèges (chaque élément d’un
système (utilisateur ou logiciel) doit avoir que le minimum de privilèges
nécessaire pour accomplir une tache)
Exe : un serveur web
tourne sous nobody, les utilisateurs normaux ne doivent pas être des
administrateurs
Défense en
profondeur : plusieurs mesures de
sécurité valent mieux qu’une (anti-virus – sécurité de configuration…)
Interdiction
par défaut : interdire tout au début
(white list)
Participation
des utilisateurs : il faut bien
connaître le besoin des utilisateurs avant d’interdire ou autoriser
Un système de protection est efficace que si les
utilisateurs le supportent
La
Simplicité : dans un système simple
le risque d’erreur est petit, facilité de vérification…
Types de Firewall
Logiciel : station de travail standard avec un logiciel
pare-feu (checkpoint firewall – Raptor –
IP-filter)
Matériel :
boite noire spécialisée (contient aussi
un logiciel) : (Cisco PIX, Cisco IOS, SonicWall, Nokia checkpoint FW)
Les
firewall logiciels héritent de toutes les vulnérabilités de l’IOS sur lequel
ils tournent
L’architecture
des FW logiciels est très bien connue, il est bien facile d’exploiter les
vulnérabilités (buffer overflow par exemple)
Les
performances des FW sont souvent meilleurs
|
Il existe les FW sans mémoire
(stateless) : ne se rappelle pas des pqs qu’il a déjà vu, et les FW a
mémoire (stateful) : garde une trace des pqs qui passent (flags, numéros de séquence, empêche le syn
floading…) - analyse des protocoles
d’application SMTP par exemple
Simple : Si il constate
qu’une connexion reste demi-ouverte, il envoie un RST
Avancé : le FW temporise
les pqs et génère lui-même un syn-ack
Rôle d’un Firewall
Filtrage (entrant et
sortant) - contrôle des couches OSI
(pare-feu perso) - couche 1 à 3
(pare-feu pro) || bloque les backdoors –
les spyware – les virus et certains vers
La première ligne de défense
Examen du contenu des paquets
et application (transmission ou suppression…)
Firewall à mémoire
Connaît les connexions
établies, plus simples donc moins d’erreur, pas de paquets non-solicités
DMZ
La DMZ (Zone Démilitarisé) : une zone ou on met les
serveurs (bastions) nécessitant un accès extérieur (web, ftp..) mais pas les ressources interne
dans c’est une zone qui protége les ressources interne
Les machines interne peuvent
se connecté qu’au au Proxy
Blocage de l’accès au
firewall
Sécurité moyenne
DMZ en sandwich
Pas de routage dans le Proxy-
NAT dynamique sortant – NAT statique entrant – Sécurité élevée – seul les Proxy
se connectent à Internet
La DMZ possède donc un niveau
de sécurité intermédiaire,
Ne peut y stocker des données critiques de
l'entreprise.
·
Traffic du réseau
externe vers le réseau interne interdit ;
·
Traffic du réseau
externe vers la DMZ autorisé ;
·
Traffic du réseau
interne vers la DMZ autorisé ;
·
Traffic du réseau
interne vers le réseau externe autorisé ;
·
Traffic de la DMZ
vers le réseau interne interdit ;
·
Traffic de la DMZ
vers le réseau externe refusé.
Firewall ASA 55xx
Authentification :
En sortie : permet de
limiter l’accès à Internet aux utilisateurs privilégies
En entrée : permet
d’autoriser l’accès a des ressources
interne
L’authentification : par
une base centrale (protocoles RADUIS et TACACS)
Accès à distance : VPN
par exemple
Chiffrement
Le FW peut chiffrer et
déchiffrer les données qui traversent une zone moins sécurisée (coté publique du NAT)
Inspection des
paquets :
Analyse des paquets pour
vérifier le format de contenu
Eliminer un contenu non
désiré (virus- vers ect…)
Génération des
logs :
Détection des attaques et les
enregistrés – retrouver les tentatives d’attaques – vérification des protocoles
autorisées
Bonne chance
mohameddouhaji7@gmail.com
mohameddouhaji7@gmail.com