La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

FIREWALL Exposé NT Réseaux Jérôme CHEYNET Miguel DA SILVA Nicolas SEBBAN.

Présentations similaires


Présentation au sujet: "FIREWALL Exposé NT Réseaux Jérôme CHEYNET Miguel DA SILVA Nicolas SEBBAN."— Transcription de la présentation:

1 FIREWALL Exposé NT Réseaux Jérôme CHEYNET Miguel DA SILVA Nicolas SEBBAN

2 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 2 14/11/2013 Plan Présentation Générale Architectures Firewalls matériels Firewalls logiciels professionnels Firewalls personnels Démonstration

3 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 3 14/11/2013 Présentation générale

4 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 4 14/11/2013 Présentation - Plan Quest-ce quun Firewall ? Pourquoi utiliser un Firewall ? Principales fonctionnalités

5 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 5 14/11/2013 Quest-ce quun Firewall ? Un firewall est plus un concept quun matériel ou un logiciel Filtre le trafic entre réseaux à différents niveaux de confiance Met en oeuvre une partie de la politique de sécurité

6 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 6 14/11/2013 Quest-ce quun Firewall ? Système physique ou logique servant dinterface entre un ou plusieurs réseaux Analyse les informations des couches 3, 4 et 7

7 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 7 14/11/2013 Pourquoi utiliser un Firewall ? Les pare-feux sont utilisés principalement dans 4 buts : Se protéger des malveillances "externes" Éviter la fuite dinformation non contrôlée vers lextérieur Surveiller les flux internes/externes Faciliter ladministration du réseau

8 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 8 14/11/2013 Principales fonctionnalités Filtrage Authentification/Gestion des droits NAT Proxy

9 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 9 14/11/2013 Architectures

10 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 10 14/11/2013 Architectures - Plan DMZ Routeur filtrant Firewall Stateful Proxy NAT

11 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 11 14/11/2013 DMZ DeMilitarized Zone

12 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 12 14/11/2013 Routeur filtrant Premier élément de sécurité « IP-Spoofing Ready » Évite lutilisation inutile de bande passante mais ne protège pas des hackers

13 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 13 14/11/2013 Stateful Inspection 2 principes fondamentaux : Analyse complète du paquet au niveau de la couche réseau Définition et maintien des tables des connexions autorisés (états)

14 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 14 14/11/2013 Proxy (1/2) Firewall Proxy dispose dagents spécifiques à chaque protocole applicatif (FTP, HTTP..) Filtrage très précis Comprend les spécificités de chaque protocole Le réassemblage des paquets élimine les attaques par fragmentation

15 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 15 14/11/2013 Proxy (2/2) Firewall Proxy présente 2 inconvénients : Performances : le filtrage dun paquet nécessite sa remonté jusquà la couche application Disponibilités des agents (protocoles propriétaires ou exotique)

16 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 16 14/11/2013 NAT (Network Address Translation)

17 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 17 14/11/2013 Firewalls matériels

18 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 18 14/11/2013 Firewalls matériels - Plan Définition Différences firewall logiciel/matériel Catégories de firewalls matériels Routeurs Firewalls spécialisés Modules firewall pour commutateurs

19 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 19 14/11/2013 Définition Système dexploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage Simple PC, matériel dédié, circuit intégré spécialisé (ASIC) Ex de firewall non matériel

20 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 20 14/11/2013 Différences firewall logiciel/matériel Peuvent offrir fonctions et services identiques Différences: SAV: 1 seul constructeur fournit la solution complète Résistance: conçu pour être un produit de sécurité Distribution de la fonction firewall dans les points stratégiques du réseau

21 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 21 14/11/2013 Catégories de firewalls matériels Routeurs: filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags TCP Stateless ou Stateful Moins dapplications complexes/multimédia supportées que firewall spécialisés (NAT) Routeurs conçus initialement pour commuter paquets -> attention Filtres des tables de routage Performances: de qques kb/s -> plusieurs Mb/s Perte de performances de 15 à 20% en Stateful Performances dépendent du nombre de fonctions utilisées (IPSec, détection dintrusion, codecs pour voix sur IP, QOS) Routeur stateful idéaux pour relier bureaux via internet: site a protéger rarement important

22 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 22 14/11/2013 Catégories de firewalls matériels Firewalls spécialisés Conçus uniquement pour faire du filtrage Très performant: > 1Gbit/s connexions Plusieurs dizaines de milliers de nouvelles connexions par seconde Supportent rarement les interfaces WAN nécessité dêtre associés à des routeurs pour la connectivité Disponibles également pour le grand public Pour accès toujours connectés (DSL, câble) Ouverts en sortie Certains permettent le filtrage dans les deux sens adaptés à lhébergement de services Performances: 1à 2 Mb/s (vitesse daccès) Limitations au niveau du nombre de sessions supportées et nombre de nouvelles connexions par seconde. Meilleur choix pour protéger laccès principal à Internet ou serveurs publics

23 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 23 14/11/2013 Catégories de firewalls matériels Modules firewall pour commutateurs Sous forme de carte Firewall stateful Intégrés aux commutateurs pour fournir protection entre différents VLAN Support de contextes virtuels services de filtrages a des réseaux distincts Performances: jusquà 5 Gb/s de connexions nouvelles connexions par seconde Jusquà 100 interfaces virtuelles Possibilité dutiliser plusieurs cartes débit de 30 Gb/s Utilisés pour cloisonner le réseau interne

24 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 24 14/11/2013 Firewalls logiciels professionnels

25 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 25 14/11/2013 Firewalls logiciels professionnels Plan Deux firewalls stateful : Firewall libre : Netfilter / iptables Firewall commercial : CheckPoint Firewall-1 Ce que les firewalls laissent passer

26 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 26 14/11/2013 Firewalls logiciels en passerelle libre : Netfilter Intégré au noyau 2.4 de linux Interface utilisateur séparée : iptables Stateless : iptables -A INPUT -s p tcp -- destination-port telnet -j DROP Stateful : iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT INVALID / ESTABLISHED / NEW / RELATED

27 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 27 14/11/2013 Firewall logiciels en passerelle libre : Netfilter Spécificités Ajout de plugins au système de suivi de connections FTP / H323 / IRC / … Plugins divers : modification du comportement de la pile IP Front ends de configuration graphiques Avantage décisif sur les autres firewalls libres

28 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 28 14/11/2013 Firewall logiciels en passerelle commercial : CP Firewall-1 Disponible sur plusieurs plateformes Windows Server – Linux Red Hat – HP-UX - Solaris Prix 39 HT par utilisateur (100 machines) Au nombre de plugins fournis + Formations

29 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 29 14/11/2013 Firewall logiciels en passerelle commercial : CP Firewall-1 Spécificités Décomposable en plusieurs modules – serveurs antivirus, serveur dauthentification, reporting Authentification des utilisateurs Avec LDAP, RADIUS, TACACS Pour filtrer les URL, Pour la limitation du temps, Permissions au niveau de lutilisateur plutôt quau niveau dun adresse IP

30 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 30 14/11/2013 Firewall logiciels en passerelle ce quils laissent passer Les attaques dapplication web Vulnérables si elles ne filtrent pas assez les données entrées par lutilisateur. Insertion de code sur les Forums Insertion de requêtes SQL dans un champ de formulaire

31 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 31 14/11/2013 Firewall logiciels en passerelle ce quils laissent passer Injection de requête SQL : SELECT * FROM table_Clients WHERE champ_Nom=Name l'utilisateur entre son nom : toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password') La requête finale est : SELECT * FROM table_Clients WHERE champ_Nom=toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password')

32 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 32 14/11/2013 Firewall logiciels en passerelle ce quils laissent passer Solution : « Reverse Proxy » Rôle de ladministrateur réseau ?

33 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 33 14/11/2013 Firewalls personnels

34 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 34 14/11/2013 Firewalls personnels - Plan Cible et besoins Principe Limites Firewalls personnels sous Windows et Linux

35 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 35 14/11/2013 Cible et besoins Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet Postes principalement « client » principale menace: réception de chevaux de Troie logiciels espions / backdoors empêcher connexion de programmes non autorisés

36 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 36 14/11/2013 Cible et besoins Filtrage simple de paquets: la plage de ports doit être autorisée pour que les applis puissent fonctionner dans les deux sens filtrage de paquets problématique

37 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 37 14/11/2013 Principe Contrôle des applications pour accéder ou non au réseau liste applications autorisées à initier flux réseau ou a écouter Pour chaque appli: Localisation de lexécutable Protocole de niveau 4 utilisé (TCP, UDP, ICMP) Jeux de ports utilisés Sens de flux associé

38 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 38 14/11/2013 Principe La configuration doit être aisée pour correspondre à la cible de marché configuration par apprentissage Permet également de faire de la remontée dalertes Dans le modèle OSI: Entre couches IP et liaison: règles indépendantes dune application / flux déjà autorisés Entre couches réseau et applicative: intercepter les demandes douverture de socket

39 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 39 14/11/2013 Limites Certaines prises de décision nécessitent connaissances Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse Beaucoup dappli accèdent au réseau par différents protocoles nombre dentrées important, difficile à maintenir

40 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 40 14/11/2013 Limites Lacunes courantes: Impossibilité de spécifier des règles indépendamment dune appli Impossibilité de restreindre les jeux de ports utilisable par une appli autorisée Impossibilité de spécifier des règles pour autres protocoles que TCP, UDP ou ICMP Absence de filtrage à état ou absence des modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4)

41 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 41 14/11/2013 Limites Absence de sécurité de certains OS: pas de contrôle daccès ou comptes utilisateurs non utilisés Application pouvant se lancer en super- utilisateur --> écraser exécutables concernés par configuration du firewall, tuer dautres applis (anti-virus, firewall), annuler les protections Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur) Ne travaille quà partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) nest pas vu du firewall

42 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 42 14/11/2013 Firewalls personnels sous Windows et Linux Windows: Kerio, Zone Alarm, … Linux: module « owner » de Netfilter + patch « owner-cmd » Critères de filtrages relatifs aux processus: UID, GID propriétaire PID/SID du process Nom du process iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT Attention, ne vérifie pas la localisation de lexécutable, limiter les packets iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT

43 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 43 14/11/2013 Démonstration

44 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 44 14/11/2013 Démonstration 1/3 1 er outil, Webmin + Turtle Firewall +

45 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 45 14/11/2013 Démonstration 2/3 2 ème outil, Nessius

46 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 46 14/11/2013 Démonstration 3/3 3 ème outil, Ettercap

47 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 47 14/11/2013 Références LINUX Magazine – « le firewall votre meilleur ennemi » (janvier/fevrier 2003) « Sécurité internet » - B.Dunsmore, J.Brown, M.Cross, S.Cunningham Sites: ettercap.sourceforge.net

48 Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN 48 14/11/2013 Questions ?


Télécharger ppt "FIREWALL Exposé NT Réseaux Jérôme CHEYNET Miguel DA SILVA Nicolas SEBBAN."

Présentations similaires


Annonces Google