Scribd
Importer
306 vues19 pages

Cours Firewall

Ce document décrit les fonctions et techniques d'un firewall. Il explique comment un firewall sécurise un réseau interne en contrôlant le trafic entrant et sortant selon une politique de sécurité.

Transféré par

arkh.celestris
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
306 vues19 pages

Cours Firewall

Ce document décrit les fonctions et techniques d'un firewall. Il explique comment un firewall sécurise un réseau interne en contrôlant le trafic entrant et sortant selon une politique de sécurité.

Transféré par

arkh.celestris
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Le Firewall

Découvrez comment sécuriser


votre réseau des attaques
extérieures
À quoi sert un firewall ?

1) Un domaine à protéger : un réseau ‘interne’.

■ Un réseau d’entreprise/personnel que l’on veut protéger

■ Vis à vis d’un réseau “externe” d'où des intrus sont susceptibles de
conduire des attaques.
A quoi sert un firewall ?

2) Un pare-feu

■ Installé en un point de passage obligatoire entre le réseau à protéger


(interne) et un réseau non sécuritaire (externe).

■ C’est un ensemble de différents composants matériels et logiciels qui


contrôlent le trafic intérieur/extérieur selon une politique de sécurité.

■ Le pare-feu comporte assez souvent un seul logiciel, mais on peut avoir


aussi un ensemble complexe comportant plusieurs filtres, plusieurs
passerelles, plusieurs sous réseaux
Comment marche un firewall ?

3) Technique employée : le contrôle d’accès (le filtrage).

■ a) Notion de guichet : restriction de passage en un point précis et contrôle


des requêtes.

■ b) Notion d’éloignement : empêcher un attaquant d’entrer dans un réseau


protégé ou même de s’approcher de trop prés de machines sensibles.

■ c) Notion de confinement : empêcher les utilisateurs internes de sortir du


domaine protégé sauf par un point précis.

■ d) Généralement un pare-feu concerne les couches basses Internet


(IP/TCP/UDP), mais aussi la couche application (HTTP, FTP, SMTP…. ).
Être un point de contrôle
central
Limite le nombre de contrôle de

Ce que peut faire


sécurité logiciel et matériel

Appliquer une politique de

un firewall contrôle d’accès


Appelé aussi “ACL”

Enregistrer le trafic
Pour analyser ou contrôler
Protéger contre l’intérieur
Les utilisateurs peuvent
toujours passer outre !

Protéger le réseau d’un

Ce que ne peut trafic qui ne passe pas par


lui

pas faire un
Dans le cas d’un modem annexe
par exemple

firewall
Se configurer tout seul
Une intervention humaine est
nécessaire

Protéger des virus


Modes de configuration
Tout interdire par défaut

● Tout ce qui n’est pas explicitement autorisé est interdit

Comment mettre en oeuvre cette politique ?

1- Analyser des services utilisés (serveur web, mail)

2- Définir les droits à donner

Avantage : Solution sécuritaire la plus recommandée et


utilisée
Tout autoriser par défaut

● Tout ce qui n’est pas explicitement interdit est autorisé

Comment mettre en oeuvre cette politique ?

1- On analyse les différents risques liés aux applications

2- On en déduit les interdictions à appliquer

Cette solution est inconfortable pour les admin système


Outils des firewall
Filtre de paquets et segments

Concerne le trafic échangé aux niveaux IP (Les paquets) et


TCP/UDP (Les segments)

Possibilité de créer des règles autorisant ou refusant un


transfert combinant les infos disponibles : adresses
sources, destination, …

C’est une solution peu coûteuse et simple mais n’agit qu’aux


niveaux 3 et 4 (Transport et Internet/Réseau)
Le screening router
Le filtre proxy

Analyse le trafic échangé au niveau applicatif et applique


une politique de sécurité pour chaque application

Un serveur proxy est nécessaire pour chaque protocole


applicatif, il faut interpréter les messages différemment
pour chaque protocoles

Contrôle les droits de chaque utilisateurs

Solution qui cible de manière chirurgicale mais coûteuse car


on doit définir des droits complexes
Hôte à double réseau

Solution dite “Dual homed host”

L’hôte possède au moins deux interfaces réseaux qui


interconnecte au moins deux réseaux

C’est un proxy incontournable car si un hôte connecte deux


sous réseaux et si le routage est désactivé, un paquet ne
peut pas passer d’un réseau à un autre sans être traité sur
la couche applicatif, il est cependant vulnérable point de
vue gestion de comptes
Le bastion

C’est un hôte dit “exposé”, il constitue un point de contact


entre le réseau externe et interne

C’est un serveur pour un ensemble de services (HTTP, DNS) il


peut relayer les requêtes vers d’autres serveurs après avoir
effectué un contrôle d’accès

Un bastion peut servir d’appât dans la détection d’intrusion


et piéger un attaquant
Le bastion schématisé
La Zone Démilitarisée (DMZ)

Une DMZ est souvent situé sur un sous-réseau entre internet


et les utilisateurs et souvent entre deux routeurs
filtrants. Elle propose le stockage de ressources ou
services qui bénéficient d’un accès limité au LAN,
garantissant leurs visibilité depuis internet mais pas sur
le LAN interne. On peut coupler une DMZ et un bastion, mais
la solution est coûteuse
La Zone Démilitarisée (DMZ) schématisée
Réalisation

Identifiez les principaux services internet à


contrôler !

Vous aimerez peut-être aussi