Transcript securit3

Institut Supérieur de Comptabilité
et d’Administration des Entreprises
SECURITE DU SYSTEME
D’INFORMATION (SSI)
1
2010-2011
Chapitre 3
Les solutions de sécurité des
réseaux
2
Introduction
• Chaque ordinateur connecté à Internet (ou à un réseau) est
susceptible d'être victime d'une intrusion (risque : altérer l’intégrité du
système et des données.
• Les pirates ayant l'intention de s'introduire dans les systèmes
recherchent dans un premier temps des failles (vulnérabilité) dans les
protocoles, les systèmes d'exploitations et les applications. Ils scrutent
donc le réseau (en envoyant des paquets de manière aléatoire) à la
recherche d'une machine connectée, puis cherchent une faille de
sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.
• Cette menace est d'autant plus grande que la machine cible est :
– connectée en permanence à Internet avec une connexion à haut
débit,
– connectée sans pour autant être surveillée,
– ne change pas (ou peu) d'adresse IP.
=> Ainsi, il est nécessaire, notamment pour les entreprises connectées à
internet et les internautes ayant une connexion de type câble ou
ADSL, de se protéger des intrusions en installant un système pare-feu.
3
Qu’est ce qu’un Firewall ?
• Un firewall (pare-feu en français), est un système physique
(matériel) ou logique (logiciel) servant d'interface entre un ou
plusieurs réseaux afin de contrôler et éventuellement bloquer la
circulation des paquets de données, en analysant les informations
contenues dans les couches 3, 4 et 7 du modèle OSI.
• Il s'agit donc d'une machine (boitier spécifique de firewall
matériel ou d'un ordinateur sécurisé hébergeant une application
particulière de pare-feu) comportant au minimum deux interfaces
réseau :
– une interface pour le réseau à protéger (réseau interne)
– une interface pour le réseau externe
4
Interfaces d’un Firewall
5
Position d’un Fw dans un réseau
6
Zone démilitarisée
• Lorsque certaines machines du réseau interne ont
besoin d'être accessible de l'extérieur (comme c'est
le cas par exemple pour un serveur web, un serveur
de messagerie, un serveur FTP public, ...) il est
souvent nécessaire de créer une nouvelle interface
vers un réseau à part, accessible aussi bien du
réseau interne que de l'extérieur, sans pour autant
risquer de compromettre la sécurité de l'entreprise.
• On parle ainsi de zone démilitarisée (souvent
notée DMZ pour DeMilitarized Zone) pour désigner
cette zone isolée hébergeant des applications mises
à disposition du public.
7
Firewall : zone démilitarisée
8
Fonctionnement d'un Firewall
• Un FW contient un ensemble de règles prédéfinies permettant :
– Soit d'autoriser uniquement les communications ayant été
explicitement autorisées : "Tout ce qui n'est pas
explicitement autorisé est interdit".
– Soit d'empêcher les échanges qui ont été explicitement
interdits
• Le choix de l'une ou l'autre de ces méthodes dépend de la
politique de sécurité adoptée par l'entité désirant mettre en
oeuvre un filtrage des communications. La première méthode
est sans nul doute la plus sûre, mais elle impose toutefois une
définition précise et contraignante des besoins en terme de
communication.
9
Fonctionnement d'un Firewall
Le filtrage des paquets :
• Basé sur le principe du filtrage de paquets IP, c'està-dire sur l'analyse des en-têtes des paquets IP
échangés entre deux machines.
• Les paquets de données contiennent les en-têtes
suivants, qui sont analysés par le firewall:
– L'adresse IP de la machine émettrice
– L'adresse IP de la machine réceptrice
– Le type de paquet (TCP, UDP, ...)
– Le numéro de port (rappel: un port est un numéro
associé à un service ou une application réseau)
10
Fonctionnement d'un Firewall
Filtrage des paquets :
• Le type de paquet et le numéro de port donnent une indication sur le
type de service utilisé.
• filtrage par adresse (adress filtering) : filtrage basé sur les @ IP
• filtrage par protocole (protocol filtering) : utilisé lorsque le type de
paquets et le port sont analysés.
• Certains ports sont associés à des service courants et ne sont
généralement pas bloqués. :
– les ports 25 et 110 sont généralement associés au email,
– le port 80 au Web
• Il est recommandé de bloquer tous les ports qui ne sont pas
indispensables (selon la politique de sécurité retenue).
• Le port 23 est critique (correspond au service Telnet). Il permet
d'émuler un accès par terminal à une machine du réseau de manière
à
11
pouvoir exécuter des commandes saisies au clavier à distance...
Fonctionnement d'un Firewall
Filtrage :
•
•
•
•
•
•
•
Par numéro IP source
Par numéro IP destination
Par protocole (TCP, UDP, ICMP, IGMP, ARP,...)
Par port ( service) TCP ou UDP source
Par port ( service) TCP ou UDP destination
Par type de message ICMP (echo_request, echo_reply, …)
Par interface (interne, externe,...) en entrée ou en sortie
12
Fonctionnement d'un Firewall
Filtrage des services : Les principaux services à protéger :
 le courrier électronique (SMTP tcp/25, POP3 tcp,udp/110),
 le transfert de fichiers (FTP tcp/21, TFTP udp/69),
 l’accès par terminal (Telnet tcp/23) et l’exécution de
commandes à distance,
 les News Usenet (NNTP tcp/119),
 le World Wide Web (HTTP tcp,udp/80),
 les autres services d’informations (gopher tcp,udp/70),
 les informations sur les personnes (finger tcp/79),
 les services de conférence en temps réel,
 le service de nom (DNS, tcp,udp/53),
 les services d’administration réseau (SNMP udp/161,162),
 les services d’impression (printer tcp/515)
13
Fonctionnement d'un Firewall
Le filtrage dynamique :
• Le filtrage statique ne s'attache qu'à examiner les paquets IP
(niveau 3 du modèle OSI). Or, de nombreux services (le FTP
par exemple) initient une connexion sur un port statique, mais
ouvrent dynamiquement (de manière aléatoire) un port afin
d'établir une session entre la machine faisant office de serveur
et la machine cliente. Ainsi, il est impossible de prévoir les ports
à laisser passer ou à interdire.
• Pour y remédier, l'entreprise Check point a breveté un système
de filtrage dynamique de paquets (stateful inspection) basé
sur l'inspection des couches 3 et 4 du modèle OSI, permettant
d'effectuer un suivi des transactions entre le client et le serveur
et d'assurer la bonne circulation des données de la session en
cours.
• Si le filtrage dynamique est plus performant que le filtrage de
paquets basique, il ne protège pas pour autant de failles
applicatives, c'est-à-dire les failles liées aux logiciels,
représentant la part la plus importante des risques en terme
de
14
sécurité.
Fonctionnement d’un Firewall
15
FW : Exemple de règles
16
Les limites des firewalls
• Le fait d'installer un firewall n'est bien évidemment pas signe de
sécurité absolue.
• Les firewalls ne protègent que des communications passant à
travers eux. Ainsi, les accès au réseau extérieur non réalisés au
travers du firewall sont autant de failles de sécurité.
– C'est par exemple le cas des connexions effectuées à l'aide d'un
modem.
– D'autre part, le fait d'introduire des supports de stockage
provenant de l'extérieur sur des machines internes au réseau peut
être fort préjudiciable pour la sécurité de ce dernier.
• La mise en place d'un firewall doit donc se faire en accord avec
une véritable politique de sécurité.
• D'autre part la mise en place d'un système pare-feu n'exempt
pas de se tenir au courant des failles de sécurité et d'essayer de
les minimiser...
17
Le firewall n’est qu’un acteur d’une politique de sécurité ; il ne peut à lui seul
résoudre tous les problèmes de sécurité.
L’utilisation d’antivirus, la sensibilisation du personnel, la protection physique
des machines sont autant de problèmes qu’un firewall ne peut pas résoudre.
18
Exemples de Mise
en Place des Règles
de Filtrage
19
Exemples de règles de filtrage
En général, on définit une règle de filtrage à partir des
données suivantes:
1. Adresse IP source,
2. Adresse IP destination,
3. Type de protocole encapsulé (TCP, UDP, ICMP, IP)
4. Port source (au cas où le protocole est TCP ou UDP)
5. Port destination (au cas où le protocole est TCP ou
UDP)
20
Exemples de règles de filtrage
Définir une règle de filtrage = définir les valeurs de tous ces
5 paramètres ou de quelque uns.
A chaque règle de filtrage est associé une action:
• laisse passer le paquet,
• ou le détruire/Refus
Pour chaque service interne et externe:
• il faut mettre en place des règles pour autoriser nos
utilisateurs à y accéder
• et des règles pour autoriser des utilisateurs externes à
accéder à des serveurs (services) sur notre réseau.
21
Exemples de règles de filtrage
Internet
193.94.60.1
Externe
Routeur
Externe
Web/80
TCP
SMTP/25
TCP
192.168.22.36
192.168.22.35
Réseau Périphérique
DMZ
Web/80
TCP
Routeur Interne
192.168.24.0
192.168.23.0
Réseau Privé
Interne
22
Exemples de règles de filtrage
Autoriser l’extérieur à accéder
au service WWW sur le réseau périphérique
Service WWW entrant
Client
Serveur Web
Firewall
Extérieur DMZ
23
Exemples de règles de filtrage
Autoriser les machines du réseau périphérique à accéder
à des services WWW sur l’Internet
Service WWW sortant
Client
Serveur Web
Firewall
Intérieur (LAN)
DMZ
24
Exemples de règles de filtrage
Autoriser l’extérieur à accéder
au service WWW sur le réseau périphérique
-L’ordinateur 193.94.60.1 accède au serveur WEB
-L’ordinateur 193.94.60.1 accède au serveur SMTP
-Les autres utilisateurs n’ont pas l’accès au réseau de l’entreprise
-Les utilisateurs du réseau interne 192.168.23.0 ont l’accès au serveur externe
193.94.60.1
-Les utilisateurs du réseau interne 192.168.24.0 ont l’accès au serveur Web
192.168.22.35
Règle
Direction
Paquet
Entrant
Direction
Paquet
sortant
IP Source
IP Dest
Prot
Port Sou
Port
Dest
Action
1
externe
DMZ
193.94.60.1
192.168.22.35
TCP
> 1023
80
Permission
2
externe
DMZ
193.94.60.1
192.168.22.36
TCP
> 1023
25
Permission
3
Interne
externe
192.168.23.0
193.94.60.1
Tous
Tous
Tous
Permission
4
Interne
DMZ
192.168.24.0
192.168.22.35
TCP
> 1023
80
Permission
5
Toutes
Toutes
Toutes
Toutes
Tous
Tous
Tous
Refus
25