FIREWALL Expos - PowerPoint PPT Presentation

About This Presentation

Title:

FIREWALL Expos

Description:

Firewall - J. CHEYNET, M. DA SILVA et N. SEBBAN. 2. 12/17/09. Plan. Pr sentation G n rale ... Qu'est-ce qu'un Firewall ? Pourquoi utiliser un Firewall ? Principales fonctionnalit s ... – PowerPoint PPT presentation

Number of Views:219

Avg rating:3.0/5.0

Slides: 49

Provided by: Tau52

Category:

more less

Transcript and Presenter's Notes

Title: FIREWALL Expos

1
FIREWALLExposé NT Réseaux

Jérôme CHEYNET
Miguel DA SILVA
Nicolas SEBBAN

2
Plan

Présentation Générale
Architectures
Firewalls matériels
Firewalls logiciels professionnels
Firewalls personnels
Démonstration

3
Présentation générale
4
Présentation - Plan

Quest-ce quun Firewall ?
Pourquoi utiliser un Firewall ?
Principales fonctionnalités

5
Quest-ce quun Firewall ?

Un firewall est plus un concept quun matériel ou
un logiciel
Filtre le trafic entre réseaux à différents
niveaux de confiance
Met en oeuvre une partie de la politique de
sécurité

6
Quest-ce quun Firewall ?

Système physique ou logique servant dinterface
entre un ou plusieurs réseaux

Analyse les informations des couches 3, 4 et 7

7
Pourquoi utiliser un Firewall ?

Les pare-feux sont utilisés principalement dans 4
buts
Se protéger des malveillances "externes"
Éviter la fuite dinformation non contrôlée vers
lextérieur
Surveiller les flux internes/externes
Faciliter ladministration du réseau

8
Principales fonctionnalités

Filtrage
Authentification/Gestion des droits
NAT
Proxy

9
Architectures
10
Architectures - Plan

DMZ
Routeur filtrant
Firewall Stateful
Proxy
NAT

11
DMZ DeMilitarized Zone
12
Routeur filtrant

Premier élément de sécurité
IP-Spoofing Ready
Évite lutilisation inutile de bande passante
mais ne protège pas des hackers

13
Stateful Inspection

2 principes fondamentaux
Analyse complète du paquet au niveau de la couche
réseau
Définition et maintien des tables des connexions
autorisés (états)

14
Proxy (1/2)

Firewall Proxy dispose dagents spécifiques à
chaque protocole applicatif (FTP, HTTP..)
Filtrage très précis
Comprend les spécificités de chaque protocole
Le réassemblage des paquets élimine les attaques
par fragmentation

15
Proxy (2/2)

Firewall Proxy présente 2 inconvénients
Performances le filtrage dun paquet nécessite
sa remonté jusquà la couche application
Disponibilités des agents (protocoles
propriétaires ou exotique)

16
NAT(Network Address Translation)
17
Firewalls matériels
18
Firewalls matériels - Plan

Définition
Différences firewall logiciel/matériel
Catégories de firewalls matériels
Routeurs
Firewalls spécialisés
Modules firewall pour commutateurs

19
Définition

Système dexploitation et matériel conçus par le
constructeur et spécifiquement pour du filtrage
Simple PC, matériel dédié, circuit intégré
spécialisé (ASIC)
Ex de firewall non matériel

20
Différences firewall logiciel/matériel

Peuvent offrir fonctions et services identiques
Différences
SAV 1 seul constructeur fournit la solution
complète
Résistance conçu pour être un produit de
sécurité
Distribution de la fonction firewall dans les
points stratégiques du réseau

21
Catégories de firewalls matériels

Routeurs
filtres entrants/sortants, règles sur adresses,
ports, types ICMP, flags TCP
Stateless ou Stateful
Moins dapplications complexes/multimédia
supportées que firewall spécialisés (NAT)
Routeurs conçus initialement pour commuter
paquets -gt attention
Filtres des tables de routage
Performances
de qques kb/s -gt plusieurs Mb/s
Perte de performances de 15 à 20 en Stateful
Performances dépendent du nombre de fonctions
utilisées (IPSec, détection dintrusion, codecs
pour voix sur IP, QOS)
Routeur stateful idéaux pour relier bureaux via
internet site a protéger rarement important

22
Catégories de firewalls matériels

Firewalls spécialisés
Conçus uniquement pour faire du filtrage
Très performant
gt 1Gbit/s
500 000 connexions
Plusieurs dizaines de milliers de nouvelles
connexions par seconde
Supportent rarement les interfaces WAN ?
nécessité dêtre associés à des routeurs pour la
connectivité
Disponibles également pour le grand public
Pour accès toujours connectés (DSL, câble)
Ouverts en sortie
Certains permettent le filtrage dans les deux
sens ? adaptés à lhébergement de services
Performances
1à 2 Mb/s (vitesse daccès)
Limitations au niveau du nombre de sessions
supportées et nombre de nouvelles connexions par
seconde.
Meilleur choix pour protéger laccès principal à
Internet ou serveurs publics

23
Catégories de firewalls matériels

Modules firewall pour commutateurs
Sous forme de carte
Firewall stateful
Intégrés aux commutateurs pour fournir protection
entre différents VLAN
Support de contextes virtuels ? services de
filtrages a des réseaux distincts
Performances
jusquà 5 Gb/s
1 000 000 de connexions
100 000 nouvelles connexions par seconde
Jusquà 100 interfaces virtuelles
Possibilité dutiliser plusieurs cartes ? débit
de 30 Gb/s
Utilisés pour cloisonner le réseau interne

24
Firewalls logiciels professionnels
25
Firewalls logiciels professionnelsPlan

Deux firewalls stateful
Firewall libre Netfilter / iptables
Firewall commercial CheckPoint Firewall-1
Ce que les firewalls laissent passer

26
Firewalls logiciels en passerellelibre
Netfilter

Intégré au noyau 2.4 de linux
Interface utilisateur séparée iptables
Stateless
iptables -A INPUT -s 200.200.200.1 -p tcp
--destination-port telnet -j DROP
Stateful
iptables -A INPUT -p tcp -m state --state
ESTABLISHED -j ACCEPT
INVALID / ESTABLISHED / NEW / RELATED

27
Firewall logiciels en passerellelibre Netfilter

Spécificités
Ajout de plugins au système de suivi de
connections
FTP / H323 / IRC /
Plugins divers modification du comportement de
la pile IP
Front ends de configuration graphiques
Avantage décisif sur les autres firewalls libres

28
Firewall logiciels en passerellecommercial CP
Firewall-1

Disponible sur plusieurs plateformes Windows
Server Linux Red Hat HP-UX - Solaris
Prix
39 HT par utilisateur (100 machines)
Au nombre de plugins fournis
Formations

29
Firewall logiciels en passerellecommercial CP
Firewall-1

Spécificités
Décomposable en plusieurs modules serveurs
antivirus, serveur dauthentification, reporting
Authentification des utilisateurs
Avec LDAP, RADIUS, TACACS
Pour filtrer les URL,
Pour la limitation du temps,
Permissions au niveau de lutilisateur plutôt
quau niveau dun adresse IP

30
Firewall logiciels en passerellece quils
laissent passer

Les attaques dapplication web
Vulnérables si elles ne filtrent pas assez les
données entrées par lutilisateur.
Insertion de code sur les Forums
Insertion de requêtes SQL dans un champ de
formulaire

31
Firewall logiciels en passerellece quils
laissent passer

Injection de requête SQL
SELECT FROM table_Clients WHERE champ_NomName
l'utilisateur entre son nom
toto INSERT INTO table_Users VALUES('Mon_login',
'Mon_password')
La requête finale est
SELECT FROM table_Clients WHERE champ_Nomtoto
INSERT INTO table_Users VALUES('Mon_login',
'Mon_password')

32
Firewall logiciels en passerellece quils
laissent passer

Solution Reverse Proxy
Rôle de ladministrateur réseau ?

33
Firewalls personnels
34
Firewalls personnels - Plan

Cible et besoins
Principe
Limites
Firewalls personnels sous Windows et Linux

35
Cible et besoins

Logiciel de sécurité réseau simple et efficace
pour connexions Internet personnelles poste
directement relié à Internet
Postes principalement client ? principale
menace réception de chevaux de Troie ? logiciels
espions / backdoors
? empêcher connexion de programmes non autorisés

36
Cible et besoins

Filtrage simple de paquets la plage de ports
1024-65535 doit être autorisée pour que les
applis puissent fonctionner dans les deux sens
? filtrage de paquets problématique

37
Principe

Contrôle des applications pour accéder ou non au
réseau
? liste applications autorisées à initier flux
réseau ou a écouter
Pour chaque appli
Localisation de lexécutable
Protocole de niveau 4 utilisé (TCP, UDP, ICMP)
Jeux de ports utilisés
Sens de flux associé

38
Principe

La configuration doit être aisée pour
correspondre à la cible de marché ?configuration
par apprentissage
Permet également de faire de la remontée
dalertes
Dans le modèle OSI
Entre couches IP et liaison règles indépendantes
dune application / flux déjà autorisés
Entre couches réseau et applicative intercepter
les demandes douverture de socket

39
Limites

Certaines prises de décision nécessitent
connaissances
Certains produits ne gèrent que TCP, UDP et ICMP,
décision silencieuse
Beaucoup dappli accèdent au réseau par
différents protocoles ? nombre dentrées
important, difficile à maintenir

40
Limites

Lacunes courantes
Impossibilité de spécifier des règles
indépendamment dune appli
Impossibilité de restreindre les jeux de ports
utilisable par une appli autorisée
Impossibilité de spécifier des règles pour autres
protocoles que TCP, UDP ou ICMP
Absence de filtrage à état ou absence des modules
de prise en charges de protocoles applicatifs
complexes (limite au niveau 4)

41
Limites

Absence de sécurité de certains OS pas de
contrôle daccès ou comptes utilisateurs non
utilisés
Application pouvant se lancer en
super-utilisateur --gt écraser exécutables
concernés par configuration du firewall, tuer
dautres applis (anti-virus, firewall), annuler
les protections
Possibilité de profiter de failles de sécurité
dans autres applications autorisées (navigateur)
Ne travaille quà partir du niveau IP, tout ce
qui se trouve en dessous (Ethernet) nest pas vu
du firewall

42
Firewalls personnels sous Windows et Linux