Les FirewallsLes Firewalls

Patrick PROY

Sébastien MATHON

DESS Réseaux - promotion 1999/2000

Plan de la présentationPlan de la présentation

Besoins

Stratégies

Qu’est-ce qu’un firewall ?

Marché

Techniques de filtrage

Besoins - Risques de l’InternetBesoins - Risques de l’Internet

le réseau interneles serveurs Internetla transmission de donnéesla disponibilité

Menaces contre

CERT: Computer Emergency Response Team

Besoins - ProtectionBesoins - Protection

Confiance entre réseaux ?Points de contrôle

– au sein de l ’entreprise– connexion Internet

Besoins - LimitationsBesoins - Limitations

« Social Engineering »Défense de périmètre

Un firewall n ’est pas suffisant !

Qu’est-ce qu’un Firewall ?Qu’est-ce qu’un Firewall ?

Ensemble de composants ou système placé entre deux réseaux et possédant les propriétés suivantes:– Tout trafic de l'intérieur vers l'extérieur, et

vice-versa, doit passer par lui;

– Seul le trafic autorisé, défini par la politique de sécurité, est autorisé à passer à travers lui;

– Le système lui-même est hautement résistant à toute pénétration.

Techniques Firewall : le filtreTechniques Firewall : le filtre

Examen des datagrammes– d’après des règles précises portant

sur• l ’@ source• l ’@ destination• le protocole utilisé

Niveau 3 de l’ OSI

Techniques Firewall : le filtre (2)Techniques Firewall : le filtre (2)

Avantages

– Le gain de temps en terme de mise en place du routeur

– Le coût généralement faible d ’un routeur filtrant

– Les performances de ces routeurs sont généralement bonnes

– Les routeurs filtrants sont transparents aux utilisateurs et aux applications

Techniques Firewall : le filtre (3)Techniques Firewall : le filtre (3)

Inconvénients

– L'élaboration de règles de filtrage peut être une opération pénible.

– Le routeur filtre de paquets ne protège pas contre les applications du type Cheval de Troie.

– Choix parfois crucial entre performance et sécurité.

– Il n ’y a pas d’analyse des services.

Techniques Firewall : la passerelleTechniques Firewall : la passerelle

Système relayant des services entre 2 réseaux (connexions TCP)

machine.ici.dom gateway.ici.dom x.ailleurs.com

1891

20457411

1525

Techniques Firewall : la PNATechniques Firewall : la PNA

Service logiciel (service proxy )

1

1. Demande du service TELNET

2

2. Vérification de l ’identité via une machine interne

proxy

machine sur Internet

3

3. Connexion TELNET créée

passerelle de niveau applicationpasserelle de niveau application

Techniques Firewall : la PNA (2)Techniques Firewall : la PNA (2)

Le Bastion Host : armé et protégémise en œuvre

– version sécurisée de l ’OS. – un ensemble limité de services proxy. – un système d'authentification de haut niveau.– accès à un sous-ensemble des commandes standards de

l'application.– accès à un système hôte spécifique. – programmes de petite taille

• détection des bugs et des faiblesses• mail UNIX: 20000 lignes de code / proxy:1000

passerelle de niveau applicationpasserelle de niveau application

Techniques Firewall : la PNA(3)Techniques Firewall : la PNA(3)

Avantages– contrôle complet sur chaque service. – authentification extrêmement poussées. – audit des détails des connexions.

– règles de filtrage faciles à configurer et à tester. Inconvénients

– augmentation considérable du coût du firewall. – réduction de la qualité du service offert aux utilisateurs.– diminution de la transparence du système. – installation de logiciels spécialisés sur chaque système

accédant à des services proxy.

passerelle de niveau applicationpasserelle de niveau application

Techniques Firewall : la PNCTechniques Firewall : la PNC

Relais de connexions TCP agit comme un filLes connexions semblent être

originaires du Firewallconnexions sortantesutilisation facile d’emploi

passerelle de niveau circuitpasserelle de niveau circuit

Techniques Firewall : V.P.N.Techniques Firewall : V.P.N.

Firewall à firewall Souvent des protocoles propriétairesCryptage et décryptage

Virtual Private NetworkVirtual Private Network

Stratégie : DécisionStratégie : Décision

Ce qui n'est pas explicitement permis est interdit;

Ce qui n'est pas explicitement interdit est permis.

Stratégie : CraintesStratégie : Craintes

Failles de sécurité :– Destruction

– Zones de risques : centraliser sur le firewall

Stratégie : Architectures FirewallStratégie : Architectures Firewall

simple routeur filtre entre Internet et le réseau privé

règles de filtrage simples– accès facile à Internet (de l ’intérieur)

– accès limité au réseau (de l ’extérieur)

Filtrage de paquets par routeur

Stratégie : Architectures FirewallStratégie : Architectures Firewall

Single-Homed Bastion Host

Screened Host Firewall

Trafic bloqué

Trafic permis

InternetRéseauprivé

hôtes

Bastion

Stratégie : Architectures FirewallStratégie : Architectures Firewall

Dual-Homed Bastion Host

Screened Host Firewall

Internet Réseau privé

Bastion

Stratégie : Architectures FirewallStratégie : Architectures Firewall

La Zone Démilitarisée (DMZ)

InternetRéseauprivé

Web

FTP

Bastion

filtre filtre

Stratégie : D.M.Z.Stratégie : D.M.Z.

Avantages– 3 systèmes de protection à franchir. – Seule la D.M.Z. est visible de l ’extérieure. – Translations d ’adresses.

Inconvénients– Coûteuse. – Compliquée.– Manque de transparence.

Demilitarized ZoneDemilitarized Zone

Firewall : Matériel ou logicielFirewall : Matériel ou logiciel

Matériel– En général niveau 3 ou 4. – Coûteux mais rapide et simple à administrer.– Manque de transparence, bugs.

Logiciel– En général bastion host. – Plus d ’administration mais plus de transparence.– Mise à jour simple.

Les acteurs du marchéLes acteurs du marché

Axent Check Point Cyberguard Fore Lucent

Netscreen Network Associates Novell Secure Computing

PerformancesPerformances

RéférencesRéférences

http://www.icsa.netMarcus J. Ranum,

« Thinking about Firewalls »

Bon stage à toutes et à tous !!!