1 / 24

LES TECHNOLOGIES

LES TECHNOLOGIES. DUDIN Aymeric MARINO Andrès. Contexte et Menaces. Sécurité et intégrité de réseaux et de systèmes Connexion d'un réseau privé à un autre Interne ou externe à l'entreprise Prévention contre l'accès non autorisé à des données et à des ressources privées

salome
Download Presentation

LES TECHNOLOGIES

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. LES TECHNOLOGIES DUDIN Aymeric MARINO Andrès

  2. Contexte et Menaces Sécurité et intégrité de réseaux et de systèmes • Connexion d'un réseau privé à un autre • Interne ou externe à l'entreprise • Prévention contre l'accès non autorisé à des données et à des ressources privées • Prévention de l'exportation ou de l’importation de données privées. • Journalisation du trafic des données • Journalisation de toute tentative d'accès

  3. Garde-barrière • Intercepte et contrôle le trafic entre réseaux à différents niveaux de confiance • Fait partie du périmètre de défense d'une entreprise ou d'une organisation • Met en oeuvre une partie de la politique de sécurité • Fournit des éléments d'audit

  4. Rôle Firewall ? • Permettre des accès “légitimes” et rejeter les demandes d'accès non autorisés • Permettre des connexions plus sûres depuis un réseau ouvert tel que Internet • Auditer l'utilisation des ressources réseaux ainsi que les tentatives d'accès • Connecter des réseaux internes ayant un plan d'adressage non officiel • Point d'entrée et de contact unique pour une entreprise, entité ou organisation • Ex : firewall.univ-lyon1.fr

  5. Schéma Réseau local Internet

  6. Schéma Réseau local Garde Barrière Internet

  7. Règles de Sécurité Tout ce qui n’est pas interdit est autorisé • Le garde-barrière interdit les services réseaux qui sont connus pour présenter des risques ou constituer une menace • Les utilisateurs sont susceptibles de d'introduire des systèmes présentant des failles dans le domaine de la sécurité Tout ce qui n’est pas autorisé est interdit • Le garde-barrière interdit tout par défaut • L'administrateur doit valider l'utilisation de chaque service réseau • Implicitement, cela revient à "brider" l'utilisateur

  8. Techniques de filtrage • Filtre de paquets • IP • Firewall de niveau circuit (couche transport) • TCP • Firewall de couche application • Services proxy • Filtre dynamique de paquets • UDP

  9. Filtre de paquets • Traitement des paquets selon plusieurs critères • Adresse(s), options d'en-tête, champs de niveaux supérieurs • Port TCP • Connexion directe extérieur/intérieur • Pas de possibilité de masquage d'adresse • Nécessité de protéger chaque serveur interne susceptible de communiquer avec un client externe • Restrictions : • Journalisation et alarmes peu précises • Pas d'authentification • Modification "simple" des règles de filtrage qui créent des brèches dans la politique de sécurité

  10. Filtre de paquets Pile réseau Paquets propagés Ex: IP 134.214.88.* : 21 Filtre de paquets Liste de règles Paquets entrants

  11. Firewall de niveau circuit(couche transport) • Relais de connexions TCP ou UDP • Restrictions • Généralement, utilisation de l'intérieur vers l'extérieur • Peu ou pas d'authentification • Journalisation et audit non spécifiques • Nécessite généralement de modifier les clients afin de s'appuyer sur un protocole particulier pour dialoguer avec le garde-barrière

  12. Firewall de niveau circuit • Vérification du protocole • Contrôle des circuits ouverts • Ouverture/Fermeture d’un circuit Liste des circuits ouverts • État de la session • Adresses source/destination • Interface physique Paquets entrants Paquets propagés

  13. Proxy/application Gateway • Les Proxy-application Gateways sont utilisables pour différents types de trafic : • "Store & forward" : FTP, SMTP, ... • Interactif : Telnet, ... • Les proxies sont spécifiques pour chaque application (service) et peuvent journaliser et auditer tout trafic associé. • Les proxies peuvent être conçus en intégrant un mécanisme d'authentification supplémentaire. • Les serveurs peuvent jouer d'autres rôles. • Relais : SMTP, ... • Serveur : DNS, FTP, NNTP, ...

  14. Proxy/application Gateway Serveur réel Internet Protocole d’analyse Réseau local Serveur proxy Client proxy Journaux d'audit Client réel

  15. Proxy/application Gateway • Journalisation détaillée possible jusqu'au détail de la session • Politique de sécurité plus facile à implémenter • Authentifications possibles

  16. Proxy/application Gateway • Temps de latence plus élevé qu'avec des filtering gateways • Parfois moins de transparence • Tout service n'est pas forcément supporté • Authentification • Délais entre le developpement d’un nouveau protocole et du proxy associé

  17. Filtrage dynamique de paquets • Appliqué à UDP, ICMP • Associé à un filtre de paquets • Méthode : • Requête sortante • Établissement d’un circuit virtuel temporaire • Attente de réponse • Effacement du circuit

  18. Architecture Firewall • Problèmes des performances de sécurité et de débit. • Une seule machine effectue tout le travail • Adaptation du type de filtrage aux besoins • Simple filtrage de paquet ou filtrage d’application • Découpage des taches sur plusieurs serveurs. • Plusieurs firewall, en parallèle ou en série.

  19. Firewall avec routeur de filtrage Routeur INTERNET Réseau interne Filtrage de paquets.Avantage : peu coûteux, rapide Inconvénient : filtrage peu « intelligent », unique rempart.

  20. Passerelle double ou réseau bastion Passerelle double INTERNET Hôte bastion Réseau interne L’hôte bastion cumule les fonctions de filtrage, de PROXY, de passerelle applicative et d’audit.

  21. Firewall avec réseau de filtrage Routeur Hôte bastion Internet Le routeur ne permet la communication depuis Internet qu'avec l’hôte bastion.

  22. Firewall avec sous-réseau de filtrage Hôte bastion Réseau DMZ Routeur Réseau interne Internet Routeur Le routeur externe ne permetles communications Internetqu'avec le Bastion Le routeur interne ne permet les communications internes qu'avec le Bastion

  23. Conclusion • Limites physiques : débits / sécurité • Limites économiques : Firewall clef en main et télémaintenance • Firewall une solution efficace, mais une vigilance constante.

  24. QUESTIONS ?

More Related