Firewall (pare-feu)

Ralise par : chaimae essaidi Meryem el mariya Mohamed tahir

prsentation
Chaque ordinateur connect internet ou n'importe quel rseau informatique est susceptible d'tre victime d'une attaque d'un pirate informatique. La mthodologie gnralement employe par le pirate informatique Ainsi, il est ncessaire, autant pour les rseaux d'entreprises que pour les internautes possdant une connexion de type cble ou ADSL, de se protger des intrusions rseaux en installant un dispositif de protection.

Qu'est-ce qu'un pare-feu?

Qu'est-ce qu'un pare-feu? Un pare-feu est un systme permettant de protger un ordinateur ou un rseau d'ordinateurs des intrusions provenant d'un rseau tiers (notamment internet). Le pare-feu est un systme permettant de filtrer les paquets de donnes changs avec le rseau, il s'agit ainsi d'une passerelle filtrante comportant au minimum les interfaces rseau suivante : une interface pour le rseau protger (rseau interne) ; une interface pour le rseau externe.

Le systme firewall est un systme logiciel, reposant parfois sur un matriel rseau ddi, constituant un intermdiaire entre le rseau local (ou la machine locale) et un ou plusieurs rseaux externes. Il est possible de mettre un systme pare-feu sur n'importe quelle machine et avec n'importe quel systme pourvu que : La machine soit suffisamment puissante pour traiter le traffic ; Le systme soit scuris ; Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.

Fonctionnement d'un systme parefeu

Un systme pare-feu contient un ensemble de rgles prdfinies permettant : D'autoriser la connexion (allow) ; De bloquer la connexion (deny) ; De rejeter la demande de connexion sans avertir l'metteur (drop). L'ensemble de ces rgles permet de mettre en oeuvre une mthode de filtrage dpendant de la politique de scurit adopte par l'entit. On distingue habituellement deux types de politiques de scurit permettant : soit d'autoriser uniquement les communications ayant t explicitement autorises : soit d'empcher les changes qui ont t explicitement interdits.

Le filtrage simple de paquets

Un systme pare-feu fonctionne sur le principe du filtrage simple de paquets , Il analyse les en-ttes de chaque paquet de donnes chang entre une machine du rseau interne et une machine extrieure. Ainsi, les paquets de donnes change entre une machine du rseau extrieur et une machine du rseau interne transitent par le pare-feu et possdent les enttes suivants, systmatiquement analyss par le firewall : adresse IP de la machine mettrice ; adresse IP de la machine rceptrice ; type de paquet (TCP, UDP, etc.) ; numro de port (rappel: un port est un numro associ un service ou une application rseau). Les adresses IP contenues dans les paquets permettent d'identifier la machine mettrice et la machine cible, tandis que le type de paquet et le numro de port donnent une indication sur le type de service utilis.

Le tableau ci-dessous donne des exemples de rgles de pare-feu :

 Les ports reconnus (est compris entre 0 et 1023) sont associs des services courants (les ports 25 et 110 sont par exemple associs au courrier lectronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurs de manire filtrer les communications selon le port utilis. Il est gnralement conseill de bloquer tous les ports qui ne sont pas indispensables (selon la politique de scurit retenue). Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'muler un accs par terminal une machine distante de manire pouvoir excuter des commandes distance. Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et de voler les ventuels mots de passe circulant en clair. Les administrateurs lui prfrent gnralement le protocole SSH, rput sr et fournissant les mmes fonctionnalits que Telnet.

Le filtrage dynamique
Le filtrage dynamique fonctionne comme le filtrage statique au niveau de la couche rseau, mais la diffrence du filtrage dynamique est quil implmente des tables d'tat pour chaque connexion tablie (State table). L'amlioration par rapport au filtrage simple, est la conservation de la trace des sessions et des connexions dans des tables d'tats internes au Firewall. Le Firewall prend alors ses dcisions en fonction des tats de connexions.

 Pour TCP, enregistre 2 adresses IP et 2 numros de port dans la table de connexion comme tant tat ouvert
Par dfaut, on permet les connexions de lintrieur (plus scuritaires) vers lextrieur (moins scuritaires).

1. TCP SYN DE: 60.55.33.12:62600 : 123.80.5.34:80

Client 60.55.33.12

2. Connexion ouverte

3. TCP SYN DE: 60.55.33.12:62600 : 123.80.5.34:80

Stateful Firewall

Serveur Web 123.80.5.34 Port Externe 80

Table de connexion
Type TCP IP Interne 60.55.33.12 Port Interne 62600 IP Externe 123.80.5.34 tat OK

Client 60.55.33.12

6. TCP SYN/ACK DE: 123.80.5.34:80 : 60.55.33.12:62600

Statefu 4. l TCP SYN/ACK Serveur Firewall DE: 123.80.5.34:80 Web : 60.55.33.12:62600123.80.5.34

5. Vrification de la connexion OK Table de connexion Type TCP IP Interne 60.55.33.12 Port Interne 62600 IP Externe 123.80.5.34 Port Externe 80 tat OK

 Stateful Firewall Operation

Pour UDP, enregistre aussi 2 adresses IP et les numros de port dans la table de connexion

Table de connexion Type TCP UDP IP Interne 60.55.33.12 60.55.33.12 Port Interne 62600 63206 IP Externe 123.80.5.34 1.8.33.4 Port Externe 80 69 tat OK OK

Stateful Firewall
Client 60.55.33.12 2. Vrification dans la table de connexion: Pas de connexion, on rejte le paquet 1. TCP SYN/ACK DE: 10.5.3.4.:80 : 60.55.33.12:64640

Attaquant 10.5.3.4

Table de connexion Type TCP UDP IP Interne 60.55.33.12 60.55.33.12 Port Interne 62600 63206 IP Externe 123.80.5.34 222.8.33.4 Port Externe 80 69 tat OK OK

Le filtrage applicatif: principe

Le filtrage applicatif est comme son nom l'indique ralis au niveau de la couche Application. Pour cela, il faut bien sr pouvoir extraire les donnes du protocole de niveau 7 pour les tudier. Les requtes sont traites par des processus ddis, par exemple une requte de type Http sera filtre par un processus proxy Http. Le pare-feu rejettera toutes les requtes qui ne sont pas conformes aux spcifications du protocole. Cela implique que le pare-feu proxy connaisse toutes les rgles protocolaires des protocoles qu'il doit filtrer.

DMZ (Zone dmilitarise)

Lorsque certaines machines du rseau interne ont besoin d'tre accessibles de l'extrieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent ncessaire de crer une nouvelle interface vers un rseau part, accessible aussi bien du rseau interne que de l'extrieur, sans pour autant risquer de compromettre la scurit de l'entreprise. On parle ainsi de zone dmilitaris (note DMZ pour DeMilitarized Zone) pour dsigner cette zone isole hbergeant des applications mises disposition du public. La DMZ fait ainsi office de zone tampon entre le rseau protger et le rseau hostile.

La politique de scurit mise en oeuvre sur la DMZ est gnralement la suivante : Traffic du rseau externe vers la DMZ autoris ; Traffic du rseau externe vers le rseau interne interdit ; Traffic du rseau interne vers la DMZ autoris ; Traffic du rseau interne vers le rseau externe autoris ; Traffic de la DMZ vers le rseau interne interdit ; Traffic de la DMZ vers le rseau externe refus.

Prsentation de la gamme ASA

Le matriel Cisco ASA de la srie 5500 (Adaptive Security Appliances) est un systme de scurit s'appuyant sur une plate-forme modulaire. Les ASA peuvent tre employs dans diffrents cadres suivant la gamme que l'on choisit. Les plus petits modles seront plutt ddis un usage domicile ou dans les petites entreprises, alors que les gros modles seront orients pour les grosses

ASDM
Ct administration, nous avons ralis la configuration de lASA en ligne de commande (plus facile de notre point de vue) il est cependant tout fait possible de leffectuer via linterface graphique nomme ASDM (Cisco Adaptive Security Device Manager)