les firewalls
DESCRIPTION
Formation école ingénieur YverdonTRANSCRIPT
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les Firewalls
Sylvain Marete-Xpert Solutions SA
Solutions à la clef
Les firewalls: définition de base
Outil de contrôle des communications réseaux Agit comme un filtre Contrôle en temps réel les communications
Trois grandes familles Packet Filter (niveau 3) Proxy ou relais applicatifs (niveau 7) Stateful Inspection (niveau 3)
Outil de base de la sécurité… N’est plus suffisant !
Solutions à la clef
Les firewalls
Les services standards du firewall Contrôle d’accès Accounting Authentification Translation d’adresse (NAT)
Les autres services VPN IDS Authentification Contrôle de contenu (AV, filtrage d’URL, Code mobile, etc.) Haute disponibilité Etc.
Solutions à la clef
Exemple d’implémentation
Solutions à la clef
Firewall « packet filter »
Source: Checkpoint 2002
Solutions à la clef
Packet Filter: Screening Routers
1er approche (connexion Internet) Séparation réseau interne de l’internet
Basé sur les routeurs Travail au niveau 3 et 4 (Modèle OSI) Complexe à maintennir
Solutions à la clef
Critère de sélection pour le filtrage
Protocole IP (TCP, UDP, ESP, AH, etc.) IP Destination IP Source Port Destination Port Source Interface
Outside, Inside Sens (inbound, outbound)
Solutions à la clef
Exemple de règles firewall
Solutions à la clef
Exemple de règles firewall
Solutions à la clef
Exemple avec FTP (non PASV)
Data Connection port 1080;20
1
21050;21
3
4
Control Connection port 21;1050
20;1080
192.168.100.100
Any external IP
Solutions à la clef
Exemple !
Action Source Source Port
Dest Dest Port
Allow 192.168.100.100
* * 21
Allow * 20 192.168.100.100
> 1024
Block * * * *
Solutions à la clef
Exemple avec un Cisco: Choke Router
Solutions à la clef
Config Cisco
Solutions à la clef
Firewall « proxy »
Source: Checkpoint 2002
Solutions à la clef
Firewall « Stateful Inspection »
Source: Checkpoint 2002
Solutions à la clef
Exemple de Checkpoint
Application
Presentation
Session
Transport
Data Link (HW IF)
HW Connection
Network
1
2
3
4
5
6
7
FW-1
IP TCP Session Application
PacketMatchesRule?
Log/Alert
Pass thePacket
?
Next Rule
Send NACK
Drop the Packet
Yes
Yes
No
No
No
The Inspection Module is located inside the Operating System Kernel - between the device driver and the IP stack.
Solutions à la clef
Exemple avec FTP: stateful inspection
Source: Checkpoint 2002
Solutions à la clef
Exemple de règles firewall: Checkpoint
Solutions à la clef
Exemple de « log » avec Checkpoint
Solutions à la clef
Translation d’adresses: « NAT »
Mécanisme de modification des adresses IP source ou/et destination
Eventuellement changement des ports: PAT NAT « Static »
1 vers 1 En source ou en destination
NAT « Hide » N vers 1 Utilise de la PAT Utiliser pour cacher un réseau (accès Internet)
Solutions à la clef
Static Source
Solutions à la clef
Stactic Destination
Solutions à la clef
Hide
Solutions à la clef
Authentification
Solutions à la clef
VPN site à site
Solutions à la clef
VPN Remote Users
Solutions à la clef
Firewalls: tendance des Appliances
Concept de « black box » Est considéré comme un élément classique du
réseau Routeur, Switchs, RAS, etc.
Facilité d’exploitation Facilité d’utilisation Niveau de sécurité élevé Gestion par SSL et/ou SSH Performance OS de type Unix / Linux
Solutions à la clef
Case Studie
Entreprise connexion sur Internet Mail server DNS Web Server Surfing HTTP
Proxy Contrôle de Virus VPN Remote Users