La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

LES TECHNOLOGIES DUDIN Aymeric MARINO Andrès. Contexte et Menaces Sécurité et intégrité de réseaux et de systèmes Connexion d'un réseau privé à un autre.

Présentations similaires


Présentation au sujet: "LES TECHNOLOGIES DUDIN Aymeric MARINO Andrès. Contexte et Menaces Sécurité et intégrité de réseaux et de systèmes Connexion d'un réseau privé à un autre."— Transcription de la présentation:

1 LES TECHNOLOGIES DUDIN Aymeric MARINO Andrès

2 Contexte et Menaces Sécurité et intégrité de réseaux et de systèmes Connexion d'un réseau privé à un autre Interne ou externe à l'entreprise Prévention contre l'accès non autorisé à des données et à des ressources privées Prévention de l'exportation ou de limportation de données privées. Journalisation du trafic des données Journalisation de toute tentative d'accès

3 Garde-barrière Intercepte et contrôle le trafic entre réseaux à différents niveaux de confiance Fait partie du périmètre de défense d'une entreprise ou d'une organisation Met en oeuvre une partie de la politique de sécurité Fournit des éléments d'audit

4 Rôle Firewall ? Permettre des accès légitimes et rejeter les demandes d'accès non autorisés Permettre des connexions plus sûres depuis un réseau ouvert tel que Internet Auditer l'utilisation des ressources réseaux ainsi que les tentatives d'accès Connecter des réseaux internes ayant un plan d'adressage non officiel Point d'entrée et de contact unique pour une entreprise, entité ou organisation Ex : firewall.univ-lyon1.fr

5 Schéma Réseau local Internet

6 Schéma Réseau local Garde Barrière Internet

7 Règles de Sécurité Tout ce qui nest pas interdit est autorisé Le garde-barrière interdit les services réseaux qui sont connus pour présenter des risques ou constituer une menace Les utilisateurs sont susceptibles de d'introduire des systèmes présentant des failles dans le domaine de la sécurité Tout ce qui nest pas autorisé est interdit Le garde-barrière interdit tout par défaut L'administrateur doit valider l'utilisation de chaque service réseau Implicitement, cela revient à "brider" l'utilisateur

8 Techniques de filtrage Filtre de paquets IP Firewall de niveau circuit (couche transport) TCP Firewall de couche application Services proxy Filtre dynamique de paquets UDP

9 Filtre de paquets Traitement des paquets selon plusieurs critères Adresse(s), options d'en-tête, champs de niveaux supérieurs Port TCP Connexion directe extérieur/intérieur Pas de possibilité de masquage d'adresse Nécessité de protéger chaque serveur interne susceptible de communiquer avec un client externe Restrictions : Journalisation et alarmes peu précises Pas d'authentification Modification "simple" des règles de filtrage qui créent des brèches dans la politique de sécurité

10 Filtre de paquets Pile réseau Paquets entrants Liste de règles Paquets propagés Ex: IP * : 21

11 Firewall de niveau circuit (couche transport) Relais de connexions TCP ou UDP Restrictions Généralement, utilisation de l'intérieur vers l'extérieur Peu ou pas d'authentification Journalisation et audit non spécifiques Nécessite généralement de modifier les clients afin de s'appuyer sur un protocole particulier pour dialoguer avec le garde-barrière

12 Firewall de niveau circuit Liste des circuits ouverts Paquets entrantsPaquets propagés Vérification du protocole Contrôle des circuits ouverts Ouverture/Fermeture dun circuit État de la session Adresses source/destination Interface physique

13 Proxy/application Gateway Les Proxy-application Gateways sont utilisables pour différents types de trafic : "Store & forward" : FTP, SMTP,... Interactif : Telnet,... Les proxies sont spécifiques pour chaque application (service) et peuvent journaliser et auditer tout trafic associé. Les proxies peuvent être conçus en intégrant un mécanisme d'authentification supplémentaire. Les serveurs peuvent jouer d'autres rôles. Relais : SMTP,... Serveur : DNS, FTP, NNTP,...

14 Proxy/application Gateway Réseau local Réseau local Internet Internet Serveur réel Serveur proxyClient proxy Protocole danalyse Journaux d'audit Client réel

15 Proxy/application Gateway Journalisation détaillée possible jusqu'au détail de la session Politique de sécurité plus facile à implémenter Authentifications possibles

16 Proxy/application Gateway Temps de latence plus élevé qu'avec des filtering gateways Parfois moins de transparence Tout service n'est pas forcément supporté Authentification Délais entre le developpement dun nouveau protocole et du proxy associé

17 Filtrage dynamique de paquets Appliqué à UDP, ICMP Associé à un filtre de paquets Méthode : Requête sortante Établissement dun circuit virtuel temporaire Attente de réponse Effacement du circuit

18 Architecture Firewall Problèmes des performances de sécurité et de débit. Une seule machine effectue tout le travail Adaptation du type de filtrage aux besoins Simple filtrage de paquet ou filtrage dapplication Découpage des taches sur plusieurs serveurs. Plusieurs firewall, en parallèle ou en série.

19 Firewall avec routeur de filtrage INTERNET Filtrage de paquets.Avantage : peu coûteux, rapide Inconvénient : filtrage peu « intelligent », unique rempart. Routeur Réseau interne

20 Passerelle double ou réseau bastion INTERNET Lhôte bastion cumule les fonctions de filtrage, de PROXY, de passerelle applicative et daudit. Passerelle double Réseau interne Hôte bastion

21 Firewall avec réseau de filtrage Internet Hôte bastion Le routeur ne permet la communication depuis Internet qu'avec lhôte bastion. Routeur

22 Firewall avec sous-réseau de filtrage Le routeur externe ne permet les communications Internet qu'avec le Bastion Internet Hôte bastion Réseau DMZ Réseau interne Le routeur interne ne permet les communications internes qu'avec le Bastion Routeur

23 Conclusion Limites physiques : débits / sécurité Limites économiques : Firewall clef en main et télémaintenance Firewall une solution efficace, mais une vigilance constante.

24 QUESTIONS ?


Télécharger ppt "LES TECHNOLOGIES DUDIN Aymeric MARINO Andrès. Contexte et Menaces Sécurité et intégrité de réseaux et de systèmes Connexion d'un réseau privé à un autre."

Présentations similaires


Annonces Google