La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 SECURITE DU SYSTEME DINFORMATION (SSI) Institut Supérieur de Comptabilité et dAdministration des Entreprises 2010-2011.

Présentations similaires


Présentation au sujet: "1 SECURITE DU SYSTEME DINFORMATION (SSI) Institut Supérieur de Comptabilité et dAdministration des Entreprises 2010-2011."— Transcription de la présentation:

1 1 SECURITE DU SYSTEME DINFORMATION (SSI) Institut Supérieur de Comptabilité et dAdministration des Entreprises

2 2 Chapitre 3 Les solutions de sécurité des réseaux

3 3 Introduction Chaque ordinateur connecté à Internet (ou à un réseau) est susceptible d'être victime d'une intrusion (risque : altérer lintégrité du système et des données. Les pirates ayant l'intention de s'introduire dans les systèmes recherchent dans un premier temps des failles (vulnérabilité) dans les protocoles, les systèmes d'exploitations et les applications. Ils scrutent donc le réseau (en envoyant des paquets de manière aléatoire) à la recherche d'une machine connectée, puis cherchent une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant. Cette menace est d'autant plus grande que la machine cible est : –connectée en permanence à Internet avec une connexion à haut débit, –connectée sans pour autant être surveillée, –ne change pas (ou peu) d'adresse IP. => Ainsi, il est nécessaire, notamment pour les entreprises connectées à internet et les internautes ayant une connexion de type câble ou ADSL, de se protéger des intrusions en installant un système pare-feu.

4 4 Quest ce quun Firewall ? Un firewall (pare-feu en français), est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7 du modèle OSI. Il s'agit donc d'une machine (boitier spécifique de firewall matériel ou d'un ordinateur sécurisé hébergeant une application particulière de pare-feu) comportant au minimum deux interfaces réseau : –une interface pour le réseau à protéger (réseau interne) –une interface pour le réseau externe

5 5 Interfaces dun Firewall

6 6 Position dun Fw dans un réseau

7 7 Zone démilitarisée Lorsque certaines machines du réseau interne ont besoin d'être accessible de l'extérieur (comme c'est le cas par exemple pour un serveur web, un serveur de messagerie, un serveur FTP public,...) il est souvent nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise. On parle ainsi de zone démilitarisée (souvent notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public.

8 8 Firewall : zone démilitarisée

9 9 Fonctionnement d'un Firewall Un FW contient un ensemble de règles prédéfinies permettant : –Soit d'autoriser uniquement les communications ayant été explicitement autorisées : "Tout ce qui n'est pas explicitement autorisé est interdit". –Soit d'empêcher les échanges qui ont été explicitement interdits Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée par l'entité désirant mettre en oeuvre un filtrage des communications. La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en terme de communication.

10 10 Le filtrage des paquets : Basé sur le principe du filtrage de paquets IP, c'est- à-dire sur l'analyse des en-têtes des paquets IP échangés entre deux machines. Les paquets de données contiennent les en-têtes suivants, qui sont analysés par le firewall: –L'adresse IP de la machine émettrice –L'adresse IP de la machine réceptrice –Le type de paquet (TCP, UDP,...) –Le numéro de port (rappel: un port est un numéro associé à un service ou une application réseau) Fonctionnement d'un Firewall

11 11 Filtrage des paquets : Le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. filtrage par adresse (adress filtering) : filtrage basé sur IP filtrage par protocole (protocol filtering) : utilisé lorsque le type de paquets et le port sont analysés. Certains ports sont associés à des service courants et ne sont généralement pas bloqués. : –les ports 25 et 110 sont généralement associés au , –le port 80 au Web Il est recommandé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue). Le port 23 est critique (correspond au service Telnet). Il permet d'émuler un accès par terminal à une machine du réseau de manière à pouvoir exécuter des commandes saisies au clavier à distance... Fonctionnement d'un Firewall

12 12 Filtrage : Par numéro IP source Par numéro IP destination Par protocole (TCP, UDP, ICMP, IGMP, ARP,...) Par port ( service) TCP ou UDP source Par port ( service) TCP ou UDP destination Par type de message ICMP (echo_request, echo_reply, …) Par interface (interne, externe,...) en entrée ou en sortie Fonctionnement d'un Firewall

13 13 Filtrage des services : Les principaux services à protéger : le courrier électronique (SMTP tcp/25, POP3 tcp,udp/110), le transfert de fichiers (FTP tcp/21, TFTP udp/69), laccès par terminal (Telnet tcp/23) et lexécution de commandes à distance, les News Usenet (NNTP tcp/119), le World Wide Web (HTTP tcp,udp/80), les autres services dinformations (gopher tcp,udp/70), les informations sur les personnes (finger tcp/79), les services de conférence en temps réel, le service de nom (DNS, tcp,udp/53), les services dadministration réseau (SNMP udp/161,162), les services dimpression (printer tcp/515) Fonctionnement d'un Firewall

14 14 Le filtrage dynamique : Le filtrage statique ne s'attache qu'à examiner les paquets IP (niveau 3 du modèle OSI). Or, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible de prévoir les ports à laisser passer ou à interdire. Pour y remédier, l'entreprise Check point a breveté un système de filtrage dynamique de paquets (stateful inspection) basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur et d'assurer la bonne circulation des données de la session en cours. Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de failles applicatives, c'est-à-dire les failles liées aux logiciels, représentant la part la plus importante des risques en terme de sécurité. Fonctionnement d'un Firewall

15 15 Fonctionnement dun Firewall

16 16 FW : Exemple de règles

17 17 Les limites des firewalls Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue. Les firewalls ne protègent que des communications passant à travers eux. Ainsi, les accès au réseau extérieur non réalisés au travers du firewall sont autant de failles de sécurité. –C'est par exemple le cas des connexions effectuées à l'aide d'un modem. –D'autre part, le fait d'introduire des supports de stockage provenant de l'extérieur sur des machines internes au réseau peut être fort préjudiciable pour la sécurité de ce dernier. La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité. D'autre part la mise en place d'un système pare-feu n'exempt pas de se tenir au courant des failles de sécurité et d'essayer de les minimiser...

18 18 Le firewall nest quun acteur dune politique de sécurité ; il ne peut à lui seul résoudre tous les problèmes de sécurité. Lutilisation dantivirus, la sensibilisation du personnel, la protection physique des machines sont autant de problèmes quun firewall ne peut pas résoudre.

19 19 Exemples de Mise en Place des Règles de Filtrage

20 20 En général, on définit une règle de filtrage à partir des données suivantes: 1.Adresse IP source, 2.Adresse IP destination, 3.Type de protocole encapsulé (TCP, UDP, ICMP, IP) 4.Port source (au cas où le protocole est TCP ou UDP) 5.Port destination (au cas où le protocole est TCP ou UDP) Exemples de règles de filtrage

21 21 Définir une règle de filtrage = définir les valeurs de tous ces 5 paramètres ou de quelque uns. A chaque règle de filtrage est associé une action: laisse passer le paquet, ou le détruire/Refus Pour chaque service interne et externe: il faut mettre en place des règles pour autoriser nos utilisateurs à y accéder et des règles pour autoriser des utilisateurs externes à accéder à des serveurs (services) sur notre réseau. Exemples de règles de filtrage

22 22 Routeur Externe Routeur Interne Internet SMTP/25 TCP Web/80 TCP Réseau Périphérique Réseau Privé Web/80 TCP Exemples de règles de filtrage DMZ Externe Interne

23 23 Autoriser lextérieur à accéder au service WWW sur le réseau périphérique Service WWW entrant ExtérieurDMZ ClientServeur Web Firewall Exemples de règles de filtrage

24 24 Autoriser les machines du réseau périphérique à accéder à des services WWW sur lInternet Service WWW sortant DMZIntérieur (LAN) ClientServeur Web Firewall Exemples de règles de filtrage

25 25 Autoriser lextérieur à accéder au service WWW sur le réseau périphérique RègleDirection Paquet Entrant Direction Paquet sortant IP SourceIP DestProtPort SouPort Dest Action 1externeDMZ TCP> Permission 2externeDMZ TCP> Permission 3Interneexterne Tous Permission 4 InterneDMZ TCP> Permission 5 Toutes Tous Refus Exemples de règles de filtrage -Lordinateur accède au serveur WEB -Lordinateur accède au serveur SMTP -Les autres utilisateurs nont pas laccès au réseau de lentreprise -Les utilisateurs du réseau interne ont laccès au serveur externe Les utilisateurs du réseau interne ont laccès au serveur Web


Télécharger ppt "1 SECURITE DU SYSTEME DINFORMATION (SSI) Institut Supérieur de Comptabilité et dAdministration des Entreprises 2010-2011."

Présentations similaires


Annonces Google