La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

AMPIGNY Christophe - 10/12/2001

Publié parAlais Gobert Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "AMPIGNY Christophe - 10/12/2001"— Transcription de la présentation:

1 AMPIGNY Christophe - 10/12/2001
FIREWALL AMPIGNY Christophe - 10/12/2001

2 Plan Définitions Principes Techniques Monter son firewall Attaques
Produits Bibliographie

3 Définition Un firewall est plus un concept qu’un matériel ou un logiciel Constitué de : 1 (ou plusieurs) routeur filtrant 1 (ou plusieurs) système bastion qui vont assurer les fonctions de : proxy authentification log

4 Pourquoi utiliser un firewall ?
Se protéger contre : les curieux les vandales les espions Restreindre le nombre des machines à surveiller et à administrer sur le bout des doigts

5 Pourquoi utiliser un firewall ?
Avoir un point de passage obligé pour : vérifier si les règles de sécurité spécifiées dans la politique de sécurité de l’établissement sont réellement celles qui sont appliquées contrôler le trafic entre le réseau interne et externe auditer/tracer de façon "centrale" ce trafic, aider à prévoir les évolutions du réseau (statistiques possibles) éventuellement avoir une vue de la consommation Internet des différents utilisateurs/services.

6 Pourquoi utiliser un firewall ?
Possibilité de mettre en œuvre des outils spécifiques que l'on ne pourrait pas activer sur tous les systèmes Economiser sur les adresses IP

7 De quoi ne protège pas un firewall ?
Les attaques qui ne passe pas par lui Les traîtres et les idiots qui sont à l’intérieur du réseau Les virus

8 Politique de sécurité Réflexion à propos de : Acceptée par tous
l'objectif à atteindre de la politique de sécurité et d'utilisation du réseau des moyens que l'on est prêt à y mettre Acceptée par tous ==> choix de solutions techniques et organisationnelles

9 Politique de sécurité 2 philosophies :
tout ce qui n'est pas explicitement interdit est autorisé tout ce qui n'est pas explicitement autorisé est interdit

10 Filtrage de paquets : principe
Rôle : filtre entre le réseau local et un autre réseau Routeur ou ordinateur dédié qui transmet les paquets en suivant un certain nombre de règles déterminées Supervise le trafic entrant et sortant

11 Filtrage de paquets : principe

12 Filtrage de paquets : principe
Chaque paquet IP contient des informations que le routeur va extraire et étudier : l'adresse de l'expéditeur l'adresse du destinataire le port IP du service demandé le port IP du poste demandeur le flag (drapeau) qui précise si le paquet est une réponse à une demande de service, ou une demande d'établissement de connexion. Un flag ayant la valeur "ACK" (acknowledge) indique que le paquet fait partie d'une discussion en cours etc...

13 Filtrage de paquets : principe
Le filtre peut alors mettre en application plusieurs règles, contenues dans un fichier de règles, et basées sur les informations des paquets Il existe deux façons de décrire les règles d’un filtre : Tout ce qui n'est pas explicitement interdit est autorisé Tout ce qui n'est pas explicitement autorisé est interdit

14 Filtrage de paquets : exemple
Une société dispose d'un réseau interne et d'un serveur web. Les machines doivent être inaccessibles de l'extérieur, sauf le serveur web qui peut être consulté par n'importe quel équipement connecté à l'Internet La liste de règles doit servir pour interdire toutes les connexions venant de l'extérieur, sauf vers le port 80 du serveur web.

15 Filtrage de paquets : exemple

16 Filtrage de paquets : avantages
Plug & play Sécurité suffisante dans beaucoup de cas Pas cher Filtrage des services par le port

17 Filtrage de paquets : inconvénients
Bonne connaissance des protocoles réseaux Pas d’authentification des utilisateurs  Pas de traces des sessions individuelles Problème de performances s ’il y a trop de règles

18 Serveur mandataire : principes
Un serveur mandataire est une machine sur laquelle on a installé tous les services que l’on souhaite fournir aux utilisateurs Les clients ne se connectent pas directement à l’extérieur, mais par l’intermédiaire du serveur mandataire

19 Serveur mandataire : principes

20 Serveur mandataire : principes
Il peut enregistrer tout ce qu'il fait Si une connexion entre le réseau interne et externe est attaquée, seule la connexion entre le proxy et l’attaquant est attaquée. Si le serveur mandataire est compromis, on s’en aperçoit très rapidement.

21 Serveur mandataire : exemple

22 Serveur mandataire : avantages
Règles simples à définir Authentification de l’utilisateur Translation d’adresse Cache Log

23 Serveur mandataire : inconvénients
Cher Trop efficace pour des petits réseaux Utilisation non transparente Administration du système demande plus de temps et d’efforts qu’un simple filtrage de paquets.

24 Mandataire SOCKS : principes
Ressemble à un vieux central téléphonique à fiches. Il interconnecte simplement une machine interne à une autre externe. Filtrage au niveau transport Le client établit une connexion TCP avec la passerelle en demandant de communiquer avec le serveur.

25 Mandataire SOCKS : avantages
La passerelle peut : vérifier l'adresse IP du client autoriser une connexion sur un port pour une durée maximale fixée n'autoriser la réutilisation d'un même port qu'après un certain délai enregistrer la destination de la connexion de chaque utilisateur enregistrer l’utilisateur qui a demandé la connexion.

26 Mandataire SOCKS : inconvénients
Pas d ’authentification de l ’utilisateur

27 Architecture 1 Cas particulier : 1 seule machine : la vôtre
==> Utiliser un logiciel tel que IPChains LookNStop etc …

28 Architecture 2

29 Architecture 2: avantages
Facile à mettre en place Pas cher

30 Architecture 2 : inconvénients
Lorsque le routeur est contourné ou paralysé, le réseau entier est ouvert ! Traces peu exploitables

31 Architecture 3

32 Architecture 3 : principe
Les informations à enregistrer : démarrage de session TCP(ou toute tentative) avec : adresse (source, destination) port (source, destination),

33 Architecture 3 : avantages
Par rapport à la solution précédente : traces exploitables et surtout, possibilité d’alarme si le routeur est compromis, il y a encore un peu de temps pour réagir

34 Routeur et proxy sur une machine
Architecture 4 Routeur et proxy sur une machine

35 Architecture 4 : avantages
La machine : filtre joue le rôle de serveur fait office de proxy avec authentification log etc...

36 Architecture 4 : inconvénients
Aucune faiblesse sur la machine !!!! Problèmes de performance. ==> Précautions : utiliser un autre système que cette machine au moins pour : Assurer l'authentification Stocker les logs

37 Architecture 5

38 Architecture 5 : avantages
Système sûr Abordable

39 Architecture 5 : inconvénients
Le système comporte deux sécurités distinctes, le routeur et le proxy. Si l'une des deux est paralysée, le réseau est menacé dans son intégralité

40 Architecture 6

41 Architecture 6 Avantages : Inconvénients système très sûr
coût d ’investissement élevé effort administratif important

42 DMZ Zones intermédiaires dans lesquelles des serveurs réalisent des traitements sur des flux de données Crées pour : faciliter la gestion des flux de données au niveau du point de cloisonnement empêcher les flux de données de passer d’une zone sûre à une zone non sûre directement et inversement séparer les grandes fonctionnalités

43 DMZ Publique, privée, semi-privée
==> dépend de la gestion + ou - restrictive Paraissent plus sécurisées que les architectures simples

44 Monter son firewall : filtrage
Matériel : un 486-DX66 avec 16 Mo de RAM un disque dur de 200 Mo (500 Mo sont tout de même recommandés) des connexions réseaux (carte Ethernet, port série, …) un moniteur et un clavier Logiciel Linux avec IPChains

45 Monter son firewall : proxy
Matériel : un Pentium II avec 64 Mo de RAM un disque dur de 2 Go pour contenir toutes les traces deux connexions réseau (on peut s ‘en sortir avec une, mais 2 sont préférables) un moniteur et un clavier. Logiciel : Squid la boîte à outils TIS Firewall (FWTK) SOCKS

46 Attaques : smurf

47 Attaques : smurf 1 PING de 1Ko de données envoyé à un serveur broadcast reroutant vers 1000 machines ==> 1Mo de données reçus par la victime. Si l’on utilise 10 serveurs broadcast reroutant chacun vers 1000 machines ==> 10 Mo de données reçus très rapidement par la victime

48 Attaques : smurf

49 Attaques : TCP-SYN Flooding
Trouver la machine de confiance Mettre hors service cette machine de confiance Prédire les numéros de séquence TCP du serveur cible Lancer l'attaque

50 Attaques : TCP-SYN Flooding
Connecté SYN/ACK ACK X est sécurisé Y croit X

51 Attaques : TCP-SYN Flooding
ACK REJ SYN/ACK Echec

52 Produits

53 Produits

54 Bibliographie Réseaux – A.Tannenbaum Firewall and Proxy Server HOWTO
Linux IPCHAINS HOWTO Le HOWTO du pare-feu et des serveurs mandataires WEB

55 Voilà, c’est fini !!!! Des questions ?

Télécharger ppt "AMPIGNY Christophe - 10/12/2001"

Présentations similaires

Sécurité informatique

Sécurité informatique
Module 5 : Implémentation de l'impression

Module 5 : Implémentation de l'impression
La sécurité des systèmes informatiques

La sécurité des systèmes informatiques
Protection du réseau périphérique avec ISA 2004

Protection du réseau périphérique avec ISA 2004
Botnet, défense en profondeur

Botnet, défense en profondeur
ADMINISTRATION RESEAU

ADMINISTRATION RESEAU
Introduction aux réseaux informatiques

Introduction aux réseaux informatiques
Une solution personnalisable et extensible

Une solution personnalisable et extensible
Firewall sous Linux Netfilter / iptables.

Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000

Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Les Firewall DESS Réseaux 2000/2001

Les Firewall DESS Réseaux 2000/2001
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001

ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Présentation de Nagios

Présentation de Nagios
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Module 6 : Gestion et analyse du système DNS

Module 6 : Gestion et analyse du système DNS
Réseaux Privés Virtuels

Réseaux Privés Virtuels
La politique de Sécurité

La politique de Sécurité
2-Generalites FTP:Protocole De transfert de fichiers sur un réseau TCP/IP. Permet de copier des fichiers depuis ou vers un autre ordinateur du reseaux,d'administrer.

2-Generalites FTP:Protocole De transfert de fichiers sur un réseau TCP/IP. Permet de copier des fichiers depuis ou vers un autre ordinateur du reseaux,d'administrer.

Présentations similaires

Annonces Google