Les technologies
This presentation is the property of its rightful owner.
Sponsored Links
1 / 24

LES TECHNOLOGIES PowerPoint PPT Presentation


  • 40 Views
  • Uploaded on
  • Presentation posted in: General

LES TECHNOLOGIES. DUDIN Aymeric MARINO Andrès. Contexte et Menaces. Sécurité et intégrité de réseaux et de systèmes Connexion d'un réseau privé à un autre Interne ou externe à l'entreprise Prévention contre l'accès non autorisé à des données et à des ressources privées

Download Presentation

LES TECHNOLOGIES

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Les technologies

LES TECHNOLOGIES

DUDIN Aymeric

MARINO Andrès


Contexte et menaces

Contexte et Menaces

Sécurité et intégrité de réseaux et de systèmes

  • Connexion d'un réseau privé à un autre

    • Interne ou externe à l'entreprise

  • Prévention contre l'accès non autorisé à des données et à des ressources privées

  • Prévention de l'exportation ou de l’importation de données privées.

  • Journalisation du trafic des données

  • Journalisation de toute tentative d'accès


Garde barri re

Garde-barrière

  • Intercepte et contrôle le trafic entre réseaux à différents niveaux de confiance

  • Fait partie du périmètre de défense d'une entreprise ou d'une organisation

  • Met en oeuvre une partie de la politique de sécurité

  • Fournit des éléments d'audit


R le firewall

Rôle Firewall ?

  • Permettre des accès “légitimes” et rejeter les demandes d'accès non autorisés

  • Permettre des connexions plus sûres depuis un réseau ouvert tel que Internet

  • Auditer l'utilisation des ressources réseaux ainsi que les tentatives d'accès

  • Connecter des réseaux internes ayant un plan d'adressage non officiel

  • Point d'entrée et de contact unique pour une entreprise, entité ou organisation

    • Ex : firewall.univ-lyon1.fr


Sch ma

Schéma

Réseau local

Internet


Sch ma1

Schéma

Réseau local

Garde

Barrière

Internet


R gles de s curit

Règles de Sécurité

Tout ce qui n’est pas interdit est autorisé

  • Le garde-barrière interdit les services réseaux qui sont connus pour présenter des risques ou constituer une menace

  • Les utilisateurs sont susceptibles de d'introduire des systèmes présentant des failles dans le domaine de la sécurité

    Tout ce qui n’est pas autorisé est interdit

  • Le garde-barrière interdit tout par défaut

  • L'administrateur doit valider l'utilisation de chaque service réseau

  • Implicitement, cela revient à "brider" l'utilisateur


Techniques de filtrage

Techniques de filtrage

  • Filtre de paquets

    • IP

  • Firewall de niveau circuit (couche transport)

    • TCP

  • Firewall de couche application

    • Services proxy

  • Filtre dynamique de paquets

    • UDP


Filtre de paquets

Filtre de paquets

  • Traitement des paquets selon plusieurs critères

    • Adresse(s), options d'en-tête, champs de niveaux supérieurs

    • Port TCP

  • Connexion directe extérieur/intérieur

    • Pas de possibilité de masquage d'adresse

    • Nécessité de protéger chaque serveur interne susceptible de communiquer avec un client externe

  • Restrictions :

    • Journalisation et alarmes peu précises

    • Pas d'authentification

    • Modification "simple" des règles de filtrage qui créent des brèches dans la politique de sécurité


Filtre de paquets1

Filtre de paquets

Pile réseau

Paquets propagés

Ex: IP 134.214.88.* : 21

Filtre de paquets

Liste de règles

Paquets entrants


Firewall de niveau circuit couche transport

Firewall de niveau circuit(couche transport)

  • Relais de connexions TCP ou UDP

  • Restrictions

    • Généralement, utilisation de l'intérieur vers l'extérieur

    • Peu ou pas d'authentification

    • Journalisation et audit non spécifiques

  • Nécessite généralement de modifier les clients afin de s'appuyer sur un protocole particulier pour dialoguer avec le garde-barrière


Firewall de niveau circuit

Firewall de niveau circuit

  • Vérification du protocole

  • Contrôle des circuits ouverts

  • Ouverture/Fermeture d’un circuit

Liste des circuits ouverts

  • État de la session

  • Adresses source/destination

  • Interface physique

Paquets entrants

Paquets propagés


Proxy application gateway

Proxy/application Gateway

  • Les Proxy-application Gateways sont utilisables pour différents types de trafic :

    • "Store & forward" : FTP, SMTP, ...

    • Interactif : Telnet, ...

  • Les proxies sont spécifiques pour chaque application (service) et peuvent journaliser et auditer tout trafic associé.

  • Les proxies peuvent être conçus en intégrant un mécanisme d'authentification supplémentaire.

  • Les serveurs peuvent jouer d'autres rôles.

    • Relais : SMTP, ...

    • Serveur : DNS, FTP, NNTP, ...


Proxy application gateway1

Proxy/application Gateway

Serveur réel

Internet

Protocole

d’analyse

Réseau

local

Serveur proxy

Client proxy

Journaux d'audit

Client réel


Proxy application gateway2

Proxy/application Gateway

  • Journalisation détaillée possible jusqu'au détail de la session

  • Politique de sécurité plus facile à implémenter

  • Authentifications possibles


Proxy application gateway3

Proxy/application Gateway

  • Temps de latence plus élevé qu'avec des filtering gateways

  • Parfois moins de transparence

    • Tout service n'est pas forcément supporté

    • Authentification

  • Délais entre le developpement d’un nouveau protocole et du proxy associé


Filtrage dynamique de paquets

Filtrage dynamique de paquets

  • Appliqué à UDP, ICMP

  • Associé à un filtre de paquets

  • Méthode :

    • Requête sortante

    • Établissement d’un circuit virtuel temporaire

    • Attente de réponse

    • Effacement du circuit


Architecture firewall

Architecture Firewall

  • Problèmes des performances de sécurité et de débit.

    • Une seule machine effectue tout le travail

  • Adaptation du type de filtrage aux besoins

    • Simple filtrage de paquet ou filtrage d’application

  • Découpage des taches sur plusieurs serveurs.

    • Plusieurs firewall, en parallèle ou en série.


Firewall avec routeur de filtrage

Firewall avec routeur de filtrage

Routeur

INTERNET

Réseau interne

Filtrage de paquets.Avantage : peu coûteux, rapide

Inconvénient : filtrage peu « intelligent », unique rempart.


Passerelle double ou r seau bastion

Passerelle double ou réseau bastion

Passerelle double

INTERNET

Hôte bastion

Réseau interne

L’hôte bastion cumule les fonctions de filtrage, de PROXY, de passerelle applicative et d’audit.


Firewall avec r seau de filtrage

Firewall avec réseau de filtrage

Routeur

Hôte bastion

Internet

Le routeur ne permet la communication depuis Internet qu'avec l’hôte bastion.


Firewall avec sous r seau de filtrage

Firewall avec sous-réseau de filtrage

Hôte bastion

Réseau DMZ

Routeur

Réseau interne

Internet

Routeur

Le routeur externe ne permetles communications Internetqu'avec le Bastion

Le routeur interne ne permet les communications internes qu'avec le Bastion


Conclusion

Conclusion

  • Limites physiques : débits / sécurité

  • Limites économiques : Firewall clef en main et télémaintenance

  • Firewall une solution efficace, mais une vigilance constante.


Questions

QUESTIONS ?


  • Login