La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

DUDIN Aymeric MARINO Andrès

Présentations similaires


Présentation au sujet: "DUDIN Aymeric MARINO Andrès"— Transcription de la présentation:

1 DUDIN Aymeric MARINO Andrès
LES TECHNOLOGIES DUDIN Aymeric MARINO Andrès

2 Contexte et Menaces Sécurité et intégrité de réseaux et de systèmes
Connexion d'un réseau privé à un autre Interne ou externe à l'entreprise Prévention contre l'accès non autorisé à des données et à des ressources privées Prévention de l'exportation ou de l’importation de données privées. Journalisation du trafic des données Journalisation de toute tentative d'accès

3 Garde-barrière Intercepte et contrôle le trafic entre réseaux à différents niveaux de confiance Fait partie du périmètre de défense d'une entreprise ou d'une organisation Met en oeuvre une partie de la politique de sécurité Fournit des éléments d'audit

4 Rôle Firewall ? Permettre des accès “légitimes” et rejeter les demandes d'accès non autorisés Permettre des connexions plus sûres depuis un réseau ouvert tel que Internet Auditer l'utilisation des ressources réseaux ainsi que les tentatives d'accès Connecter des réseaux internes ayant un plan d'adressage non officiel Point d'entrée et de contact unique pour une entreprise, entité ou organisation Ex : firewall.univ-lyon1.fr

5 Schéma Réseau local Internet

6 Schéma Réseau local Garde Barrière Internet

7 Règles de Sécurité Tout ce qui n’est pas interdit est autorisé
Le garde-barrière interdit les services réseaux qui sont connus pour présenter des risques ou constituer une menace Les utilisateurs sont susceptibles de d'introduire des systèmes présentant des failles dans le domaine de la sécurité Tout ce qui n’est pas autorisé est interdit Le garde-barrière interdit tout par défaut L'administrateur doit valider l'utilisation de chaque service réseau Implicitement, cela revient à "brider" l'utilisateur

8 Techniques de filtrage
Filtre de paquets IP Firewall de niveau circuit (couche transport) TCP Firewall de couche application Services proxy Filtre dynamique de paquets UDP

9 Filtre de paquets Traitement des paquets selon plusieurs critères
Adresse(s), options d'en-tête, champs de niveaux supérieurs Port TCP Connexion directe extérieur/intérieur Pas de possibilité de masquage d'adresse Nécessité de protéger chaque serveur interne susceptible de communiquer avec un client externe Restrictions : Journalisation et alarmes peu précises Pas d'authentification Modification "simple" des règles de filtrage qui créent des brèches dans la politique de sécurité

10 Filtre de paquets Pile réseau Paquets propagés
Ex: IP * : 21 Filtre de paquets Liste de règles Paquets entrants

11 Firewall de niveau circuit (couche transport)
Relais de connexions TCP ou UDP Restrictions Généralement, utilisation de l'intérieur vers l'extérieur Peu ou pas d'authentification Journalisation et audit non spécifiques Nécessite généralement de modifier les clients afin de s'appuyer sur un protocole particulier pour dialoguer avec le garde-barrière

12 Firewall de niveau circuit
Vérification du protocole Contrôle des circuits ouverts Ouverture/Fermeture d’un circuit Liste des circuits ouverts État de la session Adresses source/destination Interface physique Paquets entrants Paquets propagés

13 Proxy/application Gateway
Les Proxy-application Gateways sont utilisables pour différents types de trafic : "Store & forward" : FTP, SMTP, ... Interactif : Telnet, ... Les proxies sont spécifiques pour chaque application (service) et peuvent journaliser et auditer tout trafic associé. Les proxies peuvent être conçus en intégrant un mécanisme d'authentification supplémentaire. Les serveurs peuvent jouer d'autres rôles. Relais : SMTP, ... Serveur : DNS, FTP, NNTP, ...

14 Proxy/application Gateway
Serveur réel Internet Protocole d’analyse Réseau local Serveur proxy Client proxy Journaux d'audit Client réel

15 Proxy/application Gateway
Journalisation détaillée possible jusqu'au détail de la session Politique de sécurité plus facile à implémenter Authentifications possibles

16 Proxy/application Gateway
Temps de latence plus élevé qu'avec des filtering gateways Parfois moins de transparence Tout service n'est pas forcément supporté Authentification Délais entre le developpement d’un nouveau protocole et du proxy associé

17 Filtrage dynamique de paquets
Appliqué à UDP, ICMP Associé à un filtre de paquets Méthode : Requête sortante Établissement d’un circuit virtuel temporaire Attente de réponse Effacement du circuit

18 Architecture Firewall
Problèmes des performances de sécurité et de débit. Une seule machine effectue tout le travail Adaptation du type de filtrage aux besoins Simple filtrage de paquet ou filtrage d’application Découpage des taches sur plusieurs serveurs. Plusieurs firewall, en parallèle ou en série.

19 Firewall avec routeur de filtrage
INTERNET Réseau interne Filtrage de paquets.Avantage : peu coûteux, rapide Inconvénient : filtrage peu « intelligent », unique rempart.

20 Passerelle double ou réseau bastion
INTERNET Hôte bastion Réseau interne L’hôte bastion cumule les fonctions de filtrage, de PROXY, de passerelle applicative et d’audit.

21 Firewall avec réseau de filtrage
Routeur Hôte bastion Internet Le routeur ne permet la communication depuis Internet qu'avec l’hôte bastion.

22 Firewall avec sous-réseau de filtrage
Hôte bastion Réseau DMZ Routeur Réseau interne Internet Routeur Le routeur externe ne permet les communications Internet qu'avec le Bastion Le routeur interne ne permet les communications internes qu'avec le Bastion

23 Conclusion Limites physiques : débits / sécurité
Limites économiques : Firewall clef en main et télémaintenance Firewall une solution efficace, mais une vigilance constante.

24 QUESTIONS ?


Télécharger ppt "DUDIN Aymeric MARINO Andrès"

Présentations similaires


Annonces Google