S

1
Sécurité Architecture et Firewall

• Cours de Réseaux et Protocoles
• Lionel Eyraud Brice Goglin

2
Nécessité ou Paranoïa ?

• Les problèmes
• Protéger le système
• Protéger les utilisateurs et les données
• Surveiller les utilisateurs
• Les solutions
• Organiser le réseau
• Filtrer les données

3
Les ennemis potentiels

• Les pirates
• Accès à des données confidentielles
• Fichiers
• Courrier électronique
• Intrusion et détérioration du système

4
Les ennemis potentiels

• Les utilisateurs
• Aident les pirates à leur insu
• Virus
• Chevaux de Troie
• Doivent être sérieux
• Activités non productives

5
Politique

• Optimiste
• Tout ce qui nest pas explicitement interdit est
  autorisé
• Pessimiste
• Tout ce qui nest pas explicitement autorisé est
  interdit

6
Filtrer les données

• Firewall au niveau Réseau
• travaille avec les adresses, ports, types de
  message et protocoles
• Passerelle au niveau application
• travaille également sur le contenu des paquets

7
Filtre au niveau Réseau Packet Filtering

• Analyse protocole, source et destination
• Ré-émission du même paquet

8
Packet Filtering
Type SrcAdr DestAdr SrcPort DestPort
Action TCP 140.77.1.11 gt1023 23
permit TCP 140.77.. gt1023
23 deny TCP 140.77.. gt1023
32 permit UDP 140.77..
gt1023 deny

• Simple à configurer
• Filtrage limité par le matériel

9
Filtre au niveau Application Dual-Homed Gateway

• Seul le proxy accède à lextérieur
• Ré-émission dans les deux sens
• Filtrage des paquets selon leur contenu

10
Dual-Homed Gateway

• Configuration complexe
• Nécessite des clients adaptés
• Filtrage limité par les logiciels
• Délai de transmission plus important

11
Filtre intermédiaire Dynamic Packet Filtering

• Routeur filtrant plus précisément
• Détection de connexions
• Application des règles en fonction des paquets
  précédents
• Intermédiaire des deux précédents
• Rapidité
• Liberté de configuration
• Gère les ports alloués dynamiquement

12
Topologies

• Centraliser la protection
• Minimiser les stations exposées
• Créer un goulet détranglement pour les
  connexions
• Filtrer les connexions

13
Screening Router

• Firewall sur le (ou les) routeur extérieur
• Facile à mettre en place

14
Dual-Homed Gateway

• Pas besoin de routeur
• Une passerelle connectée à lextérieur
• Risques

15
Screened Host Gateway

• Une passerelle protégée
• Une seule station accessible de lextérieur

16
Screened Subnet

• Réseau périphérique restreint
• Réseau interne doublement protégé

17
Risques subsistants

• DHCP vs. DNS
• Les réseaux sans-fils
• Les failles logicielles courantes

18
Avenir

• Développement matériel au profit dun filtrage
  rapide et précis
• IPv6