Introduction à la sécurité des interconnexions Internet

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Module Architectures et Administration des réseaux
Page d accueil.
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
– Routage. Sommaire 1)Principes fondamentaux 1)Routage statique et dynamique 1)Convergence 1)Routage à vecteur de distance 1)Routage à état de liens 1)Systèmes.
Protocole PPP* *Point-to-Point Protocol.
- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
– NAT et PAT.
Firewall sous Linux Netfilter / iptables.
RFC 3581 “An extension to the Session Initiation Protocole for Symetric Response Routing”
DESS IIR Tunneling des flux réseaux dans des environnements de type « HTTP-only » Application SocksViaHTTP.
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Les Firewall DESS Réseaux 2000/2001
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Firewalling et NAT sous LINUX
Réseaux Privés Virtuels
Cours Présenté par …………..
INF4420: Éléments de Sécurité Informatique
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
SECURITE DU SYSTEME D’INFORMATION (SSI)
LE RÉSEAU INFORMATIQUE
Architecture Réseau Modèle OSI et TCP.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Virtual Local Area Network
Le protocole FTP.
Les relations clients - serveurs
Protocole 802.1x serveur radius
Digi_TransportWR44 Mise en Route Mode Opératoire.
Introduction à l’architecture de l’Internet
Commutation de niveau 5 Guillaume CASSIN Charles DESMOULINS 24 Mars 2001.
AMPIGNY Christophe - 10/12/2001
Cours 5 Le modèle de référence.
OSI et TCP/IP CNAM
Les listes de contrôle d’accès
Institut Supérieur d’Informatique
Préparer par : Badr Mahdari Othmane Habachi Encadrer par:
Répartition des adresses IP
Département de physique/Infotronique
Configuration de NAT & PAT
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Les Réseaux Informatiques
Création et gestion de comptes d'utilisateur
LE PARE-FEU AMON. MAI 2002.
Mise en place de translation d’adresses NAT/PAT
IPSec Formation.
Sécurité : Architecture et Firewall
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
1 INFRASTRUCTURE NECESSAIRE POUR UN INTRANET PEDAGOGIQUE DANS UNE UNIVERSITE CUME - 7 décembre 2000 Jacques ALLO Université d'Angers.
-7- Notions de Routage.
État de l'art et fonctionnement des firewalls applicatifs compatibles avec les protocoles "multimédia" H323 et SIP FI Option RIO le 28/09/2004 Claire.
V- Identification des ordinateurs sur le réseau
STRUCTURE RESEAU DU COLLEGE BARBOT
Fonctionnalité et protocole des couches applicatives
Couche réseau du modèle OSI
Architecture Client/Serveur
Proxy filtrant pour GSB
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
Configuration NAT Dynamique
Configuration NAT Statique Lyon1 FAI S0/0 E0/0 Station A Station B S0/0 Lo0 Objectif Le but est de configurer la traduction NAT (Network Address Translation)
Formation diff avancée Ca va être bien ;).  Simplex: Unidirectionel  Full duplex: dans les deux sens  Half duplex: dans les deux sens, mais pas en.
LES VLANS Présenté par : ATCHOM SANDJI DANIEL.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
M2.22 Réseaux et Services sur réseaux
CentralWeb F. Playe1 Principes de base du routage IP Ce cours est la propriété de la société CentralWeb. Il peut être utilisé et diffusé librement.
Transcription de la présentation:

Introduction à la sécurité des interconnexions Internet

État de l’art et technologies Présentation La sécurisation réseau d’une Interconnexion IP (Internet, Intranet ou même Extranet) implique une segmentation physique du réseau et un contrôle des accès. Pour ce faire il faut une séparation de ses différentes composantes :      Les serveurs hébergeant des services (FTP, HTTP …) Le réseau interne Le réseau externe C’est un équipement dédié qui se charge de la séparation physique de ces réseaux. Deux grandes méthodes de contrôle d’accès ont émergé au début des année 1990 : la passerelle applicative le filtre de paquets. On les retrouve sur les logiciels proxy, les firewalls, les routeurs et certains switchs.  Parallèlement à ces deux technologies, la translation d’adresses (NAT, Network Address Translation) est apparue afin de parer aux incompatibilités engendrées par l’utilisation d’adresses IP publiques sur un réseau privé (violation de la RFC 1597). Quelque soit l’équipement utilisé, la journalisation est très importante. Elle facilite l’analyse des incidents, notamment leur origine et leur intégration dans un contexte plus général.

État de l’art et technologies Présentation Passerelle Applicative (Proxy) La passerelle applicative est un un serveur dont le routage IP est désactivé et qui utilise un logiciel proxy. Le proxy est un terme anglais dont la traduction est « mandataire ». C’est exactement ce rôle que tient le proxy au sein d’une passerelle applicative : il reçoit une requête depuis le réseau interne, il l’analyse et la régénère vers le réseau externe. La passerelle applicative est la seule machine existante vue du réseau externe. Durant la phase d’analyse, la passerelle applicative vérifie le type et les paramètres de chaque requête qui sont alors filtrées suivant une politique de sécurité établie. L’analyse est très fine : la passerelle applicative extrait chaque commande et chaque argument envoyé pour chaque application gérée (HTTP, FTP …).   Par exemple : ·         Filtrer les URL contenant le mot clef « XXX » lors de l’action « GET » au port 80 ( http ). ·         Filtrer toutes les actions de type « PUT » au protocole FTP.

État de l’art et technologies Présentation Le filtre de paquets Le filtre de paquets est une machine qui examine chaque paquet en fonction d’une liste de règles avant de le router vers la bonne interface. Les critères de sélection de chaque paquet sont basés sur les informations contenues dans les en-têtes TCP/IP.   Ces informations sont suffisantes pour caractériser des services : FTP utilise le port TCP numéro 21, la messagerie par SMTP utilise le port TCP numéro 25 … Le filtre de paquets restreint les accès selon ces paramètres grâce à un ensemble de règles de filtrage qu’il parcoure de haut en bas. Une règle est caractérisée par une adresse source, une adresse destination, un port source, un port destination et l’action à entreprendre si un paquet TCP-IP correspond aux paramètres de la règle. Exemple : refuser toutes les connexions de « 192.168.10.0 » vers « www.playboy.com » au protocole « HTTP ».

État de l’art et technologies Présentation Les filtres de paquets STATEFULL Ce sont des filtres de paquets un peu plus intelligents : lorsque pour une connexion TCP un paquet a été analysé au niveau de la base des règles, les filtres STATEFULL ajoutent ce paquet à une table des communications en cours autorisées (globalement, elle contient : ip source, ip dest, port source, port dest, pour combien de temps encore…) Principalement, ils permettent à un firewall de pouvoir tenir de plus gros débits.

État de l’art et technologies Présentation Les filtres de paquets STATEFULL INSPECTION Issu des technologies passerelle applicative et filtre de paquets, le Statefull inspection est déployé dans de nombreux firewalls depuis quelques années.   La question était : comment combiner dans le même système les avantages des modes opératoires du proxy (finesse des paramètres de restriction de l’accès) et des filtres de paquets (filtrage à la volée sur les en-têtes TCP/ IP) ? Réponse : Simplement en développant un filtre de paquets auquel on aura « appris » la majorité des finesses de chaque service applicatif (FTP, Telnet, HTTP, SMTP …) mais qui continuera à agir en couche IP. Grâce à cela, le firewall capable de Statefull Inspection sait filtrer aussi bien en fonction d’adresses IPs et de ports TCP qu’en fonction de commandes FTP ou de liens HTTP. L’analyse se fait toujours avant une phase de routage, le filtre de paquets n’en est pas pour autant une passerelle applicative (couche IP). Cette technologie est la plus utilisée aujourd’hui.

État de l’art et technologies Présentation La translation d’adresse Un réseau privé, conformément à la RFC 1597, doit utiliser des adresses IPs publiques sur le réseau public, des adresses IPs privées dans les autres cas. Depuis quelques années on utilise, à cause de ça, des méthodes de translation d’adresse au niveau des routeurs, des firewalls et des passerelles applicatives.   On distingue deux méthodes de translations d’adresses : ·    Statique : à une adresse IP interne correspond une adresse IP externe. Dynamique : à plusieurs adresses IP internes correspond une seule adresse IP externe (multiplexage au niveau des numéros de port TCP et UDP) Selon l’équipement utilisé (passerelle, firewall , routeur) la finesse des règles de translation d’adresse n’est pas la même. Généralement une passerelle applicative ne saura translater les adresses internes qu’avec sa propre adresse externe et ce dynamiquement, tandis que un firewall ou un routeur sauront établir une table de correspondance entre les adresses internes et externes statiquement ou dynamiquement.

État de l’art et technologies Architecture des interconnexions Généralités La règle de base est simple : aucun service accessible depuis l’extérieur ne doit être hébergé sur un réseau interne (réseau local) car en cas de compromission de ce serveur c’est tout le réseau local qui devient compromis. Il convient alors de créer une zone intermédiaire accessible aussi bien du réseau interne que du réseau externe, selon des règles d’accès différentes. Cette zone est la DMZ (DeMilitarized Zone).   La DMZ est un réseau sur lequel on place les serveurs institutionnels (ceux qui sont exposés au réseau public). Si besoin est, les serveurs peuvent accéder au réseau interne bien que cela ne soit pas souhaitable. Il est possible de construire une DMZ autour de produits comme un filtre de paquets, un proxy, un routeur ou encore un switch.

État de l’art et technologies Architecture des interconnexions Architecture simple sans DMZ Quelque soit le type d’équipement utilisé comme firewall (passerelle applicative, filtre de paquets …), il est important d’utiliser une interface physique par réseau à interconnecter : Une interface pour le réseau interne, une autre pour le réseau externe et encore une autre pour la DMZ Quels sont les avantages et inconvénients de cette architecture ?

État de l’art et technologies Architecture des interconnexions Architecture DMZ simple Dans cette architecture, le firewall dispose de trois « pattes » :   ·         Une vers le réseau interne ·         Une vers le réseau externe ·         Une vers le réseau intermédiaire (la DMZ) Niveau de sécurité : Zone Privée > Zone DMZ > Zone Publique Cette architecture est valable indépendamment de l’adressage IP utilisé tant sur le réseau interne que sur la DMZ (adressage privé, public valide ou public invalide). De plus, elle permet une « rupture » physique entre les différents réseaux ( DMZ, Public et Privé )

État de l’art et technologies Architecture des interconnexions Architecture DMZ multiples Dans ce cas, nous distinguons fortement le serveur FTP sensible par son appartenance à une DMZ qui lui est propre. Le contrôle d’accès à cette DMZ sera beaucoup plus strict que celui associé à la DMZ intégrant le serveur HTTP et le serveur FTP institutionnel. Cette architecture offre aussi une « rupture » physique entre tous les réseaux ( DMZ(1),DMZ(2), Public et Privé )

État de l’art et technologies Architecture des interconnexions Architecture Passerelle applicative / routeur La protection du LAN est réalisée par le routeur et n’autorise les communications que de/vers la passerelle applicative. Dans cette architecture, il est préférable de paramétrer le routeur pour qu’il ne laisse sortir que les requêtes provenant de la passerelle, autrement n’importe quelle station du réseau local pourra la court-circuiter en se connecter au réseau externe en utilisant le routeur comme passerelle par défaut. Quels sont les avantages et inconvénients de cette architecture? Comment la feriez vous évoluer?

État de l’art et technologies Architecture des interconnexions

État de l’art et technologies La foire aux questions Q :Qu’est-ce qu’un firewall ?   C’est dans le langage courant un filtre de paquets. Le firewall est le routeur par défaut du réseau interne et contrôle les paquets entrants et sortants sur la base des adresses IP utilisées, des ports source et destination, … Q : Qu’est-ce qu’un proxy ? Un proxy est un mandataire, une passerelle applicative. Toute requête depuis le réseau interne est envoyée au proxy qui la regénère vers le réseau externe. La réponse est envoyée au proxy et il la répercute vers la station qui en est à l’origine. Très généralement le proxy intègre un cache qui optimise les accès externes et par conséquent la bande passante. Q : Quels sont les avantages du firewall par rapport au proxy ? Le firewall journalise toutes les tentatives de connexions. Le firewall gère des règles évoluées de translation d’adresses. Le firewall assure un temps de réponse plus court (comme un routeur). Le firewall est très évolutif (chiffrement, authentification, …). Le firewall est transparent pour les utilisateurs.

État de l’art et technologies La foire aux questions Q : Quels sont les avantages du proxy par rapport au firewall ?   Le proxy a une grande finesse dans le contrôle d’accès. Le proxy n’est pas limité à IP (IPX, AppleTalk …). Le proxy est généralement associé à un cache pour alléger la consommation en bande passante. Le proxy masque entièrement la structure du réseau interne. Q : Quels sont les inconvénients du firewall ? Le firewall est déterministe, il se base sur les numéros de port TCP/IP et non sur le contenu des paquets (Ceci n’est plus complètement vrai avec les firewall de technologie Statefull Inspection). Le firewall n’optimise pas la bande passante. Le firewall interdit tous les protocoles réseaux autres que IP.

État de l’art et technologies La foire aux questions Q : Quels sont les avantages du firewall ?   Le firewall est souple : il n’est pas limité à un groupe de services. Le firewall gère la translation selon des règles très fines. Le firewall journalise toutes les tentatives de connexion. Le firewall est transparent pour les utilisateurs. Le firewall est très évolutif (chiffrement, authentification, filtrage d’URL …). Q : Quels sont les avantages du proxy ? Le proxy gère finement le contrôle d’accès (filtrage d’URL …). Le proxy associé à un cache optimise la bande passante. Le proxy sait journaliser le contenu des sessions (URLs …). Le proxy est capable de réaliser du filtrage de contenus.

État de l’art et technologies La foire aux questions Q : Quels sont les inconvénients du proxy ?   Le proxy est rigide : il est prévu pour un ensemble déterminé de protocoles. Autrement il faut utiliser un proxy générique, pas toujours efficace. Le proxy ne sait pas journaliser les tentatives de connexions illicites. Le proxy ne sait pas évoluer vers du chiffrement, de l’authentification forte… Q : Proxy ou firewall ? Devant le nombre croissant d’attaques sur Internet le proxy seul n’est pas une solution viable car elle ne procure aucune visibilité sur les tentatives d’attaques essuyées. Le firewall seul est viable mais n’offre pas d’optimisation de la bande passante. L’idéal étant une combinaison proxy/firewall : la traçabilité du firewall et la fonctionnalité « cache » du proxy. De plus, les firewalls modernes intègrent un proxy minimaliste et sont capables de forcer certaines requêtes vers un proxy Ce proxy est utilisé pour la journalisation des requêtes HTTP, FTP … des modules complémentaires de filtrage d’URL existent.