![Page 1: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/1.jpg)
Pare-Feu NETASQ au CGS
A. CLEMENT & N. MAHR
présentation au groupe Xstra du 6 décembre 2002
![Page 2: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/2.jpg)
Pourquoi ?
mise en sécurité du réseau informatique
protéger le réseau interne des attaquespalier à l’impossibilité de mettre à jour chaque postemettre à part les serveurs visibles du monde extérieur
![Page 3: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/3.jpg)
Que choisir ?
kit proposé par le CRC
solution de type pont filtrant inclus dans Linux
solution logicielle (Sygate, Norton, ZoneAlarm …)
solution matérielle (Arkoon, NetAsq)
![Page 4: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/4.jpg)
solution retenue
le Pare-Feu de NetAsq (F100B-3)
réponse aux besoins du laboratoireintégration aisée au réseau existantfacilité d’administration et de surveillancesupport et maintenance
… pour un minimum de temps à investir dans l'installation et le suivi du pare-feu
![Page 5: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/5.jpg)
principe du pare-feu NetAsq
détection et blocage en temps réel d’attaques informatiques : paquets illégaux, tentatives de denyde service, anomalies dans une connexion, s de ports …entrant ou sortant selon des règles pré-définiesnisme de filtrage de paquets évolués isme de filtrage de paquets évolués chnologie NetAsq)
![Page 6: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/6.jpg)
schéma structurel
Internet
Osiris
Pare Feu NETASQ
1
3 2IN 130.79.144.254
OUT 130.79.208.97
130.79.144.254 DMZ
…messagerie web ftp réseau local du CGS
![Page 7: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/7.jpg)
spécifications matérielles
3 interfaces 100Mbits/secprocesseur : Céléron 633 MHzmémoire : 64 Modisque dur : 10GoOS : FreeBSD v4.5 allégé et sécurisé standards supportés : IP, ARP, TCP, UDP, ICMP, HTTP, IP-sec …..
![Page 8: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/8.jpg)
fonctionnalités
de sécurité étendue : « stateful » inspection et détection d’attaquesde routagede translation d’adressede filtrages (adresses IP, protocoles, services …)de traçabilité des logsde remontée des alarmesde passerelle VPN (tunnel chiffré)
![Page 9: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/9.jpg)
matrice des flux du CGS
webconnexion cryptéeéchange de fichiersmessagerie
accès interditDMZ
webconnexion cryptéeéchange de fichiersmessagerie
accès interditI
webconnexion cryptéeéchange de fichiersmessagerie
webconnexion cryptéeéchange de fichiersZC
DMZIZCsens du filtrage
![Page 10: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/10.jpg)
configuration du pare-feu
1- partie réseau (stateful)
- route statique : 130.79.208.102 (commutateur Osiris)
- interfaces en mode hybridebridge entre IN et DMZ : 130.79.144.254
255.255.255.0OUT : 130.79.208.97
255.255.255.248 (masque 29)
![Page 11: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/11.jpg)
configuration du pare-feu
2- déclaration d’objets- machines : serveur_web 130.79.144.5
mesolite 130.79.144.95- réseaux : Network_bridge 130.79.144.0 255.255.255.0
Network_out 130.79.208.96 255.255.255.248Network_crc 130.79.200.0 255.255.255.0
- services : http tcp 80x11 tcp 6000:6063
- protocoles : tcp 6udp 17
- groupes d’objets ( groupes de machines, groupes de services, …)
![Page 12: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/12.jpg)
configuration du pare-feu
2- déclaration d’objets
- utilisateurs : authentification des utilisateurs pour des connexions entrantes (provenant de l‘Internet) et autorisation d'accès à certains services hébergés sur votre réseau interne à certains utilisateurs de l'Internet
… à tester …
![Page 13: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/13.jpg)
définition des règles (slots)1- règles de filtrage
01-block all (08/04/2002) - NE JAMAIS Y TOUCHER - états protocole source destination service action Off all <Any> <Any> =<Any> Bloquer 02-standard (22/10/2002) états protocole source destination service action On icmp Serveurs_DMZ <Any> =<Any> Passer On all Serveurs_DMZ Network_bridge =<Any> Bloquer On all Network_bridge <Any> =<Any> Passer On group <Any> Serveurs_DMZ full Passer On icmp Network_CRC <Any> =<Any> Passer On all <Any> <Any> =<Any> Bloquer 10-pass all (08/04/2002) - NE JAMAIS Y TOUCHER - états protocole source destination service action On all <Any> <Any> =<Any> Passer
![Page 14: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/14.jpg)
définition des règles (slots)
1- règles de filtrage … suite
04-règle en cours (31/10/2002) états protocole source destination service action On all alien <Any> =<Any> Bloquer On icmp Serveurs_DMZ <Any> =<Any> Passer On tcp Serveurs_DMZ Network_bridge =auth Passer On tcp Network_bridge Serveur_Illite =ftp Passer On tcp <Any> Serveur_Illite =ftp Bloquer On group Serveur_Tropos2 postes_X11 protocole_x11 Passer On all Serveur_DMZ Network_bridge =<Any> Bloquer On all Network_bridge <Any> =<Any> Passer On group <Any> Serveur_DMZ full Passer On icmp Network_CRC <Any> =<Any> Passer On tcp Network_CRC_IN Xylan_Alcatel =telnet Passer On all <Any> <Any> =<Any> Bloquer
![Page 15: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/15.jpg)
définition des règles (slots)
2-règle de translation d’adresse- non appliquée pour l’instant
3- tunnel VPN- pourra convenir pour les postes nomades
4- url web- non livré en standard
![Page 16: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/16.jpg)
outils de gestion
Firewall Manager : outil d’administrationFirewall Reporter : outil de visualisation et d’analyse des traces et statistiquesFirewall Monitor : moniteur d’alarmes en temps réel visualisant l’activité du pare-feu
SRP (authentification et chiffrement) via le port 1300
pare-feu NetAsqposte windows
![Page 17: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/17.jpg)
Firewall Manager
logiciel graphique développé par la société NETASQ
permet de configurer entièrement le pare-feu depuis un poste Windows(NT-2000-XP)
en cas de plantage du pare-feu , possibilité de s’y connecter en mode console
![Page 18: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/18.jpg)
Firewall Manager
![Page 19: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/19.jpg)
Firewall Manager
![Page 20: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/20.jpg)
Firewall Reporter
logiciel de visualisation des informations de logs générées par le pare-feu NetAsq
analyse l'activité du réseau, des accès aux ressources informatiques, de l'utilisation d'Internet, de la messagerie …diagnostique les attaques informatiques
repérées et rejetées par le pare-feu.
![Page 21: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/21.jpg)
Firewall Reportervue sur le fichier des connexions
![Page 22: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/22.jpg)
Firewall Reportervue sur le fichier des alarmes
![Page 23: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/23.jpg)
Firewall Reporter
les alarmes majeures sont remontées via la messagerie
![Page 24: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/24.jpg)
Firewall Reportervue graphique sur les protocoles
![Page 25: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/25.jpg)
Firewall Monitor
logiciel de visualisation en temps réel de l'activité du pare-feu
utilisation des ressources internes du pare-feu (mémoire, CPU ...)liste des machines et utilisateurs connectésalarmes remontées en temps réelnombre de connexions, utilisation de la bande passante,
débitinformations sur l'état des interfaces et des tunnels VPN
![Page 26: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/26.jpg)
Firewall Monitor
états internes des ressourcesdu pare-feu
suivi des alarmes en temps réel
![Page 27: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/27.jpg)
Firewall Monitor
informations des machines hôtes
![Page 28: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/28.jpg)
Firewall Monitorgraphique du débit en temps réel
![Page 29: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/29.jpg)
conclusion 1
bon niveau de sécuritéperformances réseau maintenuesinsertion facile à l’existantrègles de sécurité acceptées par les utilisateursremontée des alarmes suivi des logsremise en état sous 48 h en cas de panne
… pour un coût financier de 6000 €
![Page 30: Pare-Feu NETASQ au CGSxstra.u-strasbg.fr/lib/exe/fetch.php?media=doc:netasqcgs_nm.pdf · Pare-Feu NETASQ au CGS A. CLEMENT & N. MAHR présentation au groupe Xstra du 6 décembre 2002](https://reader033.vdocuments.net/reader033/viewer/2022042205/5ea6856903f9e548ec3303c4/html5/thumbnails/30.jpg)
conclusion 2
mise à jour de l’infrastructure déployéemise à jour et sécurisation des OSvérification de la cohérence des règles de sécurité
… avec une veille technologique régulière