Beruflich Dokumente
Kultur Dokumente
prsentation
Chaque ordinateur connect internet ou n'importe quel rseau informatique est susceptible d'tre victime d'une attaque d'un pirate informatique. La mthodologie gnralement employe par le pirate informatique Ainsi, il est ncessaire, autant pour les rseaux d'entreprises que pour les internautes possdant une connexion de type cble ou ADSL, de se protger des intrusions rseaux en installant un dispositif de protection.
Le systme firewall est un systme logiciel, reposant parfois sur un matriel rseau ddi, constituant un intermdiaire entre le rseau local (ou la machine locale) et un ou plusieurs rseaux externes. Il est possible de mettre un systme pare-feu sur n'importe quelle machine et avec n'importe quel systme pourvu que : La machine soit suffisamment puissante pour traiter le traffic ; Le systme soit scuris ; Aucun autre service que le service de filtrage de paquets ne fonctionne sur le serveur.
Les ports reconnus (est compris entre 0 et 1023) sont associs des services courants (les ports 25 et 110 sont par exemple associs au courrier lectronique, et le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurs de manire filtrer les communications selon le port utilis. Il est gnralement conseill de bloquer tous les ports qui ne sont pas indispensables (selon la politique de scurit retenue). Le port 23 est par exemple souvent bloqu par dfaut par les dispositifs pare-feu car il correspond au protocole Telnet, permettant d'muler un accs par terminal une machine distante de manire pouvoir excuter des commandes distance. Les donnes changes par Telnet ne sont pas chiffres, ce qui signifie qu'un individu est susceptible d'couter le rseau et de voler les ventuels mots de passe circulant en clair. Les administrateurs lui prfrent gnralement le protocole SSH, rput sr et fournissant les mmes fonctionnalits que Telnet.
Le filtrage dynamique
Le filtrage dynamique fonctionne comme le filtrage statique au niveau de la couche rseau, mais la diffrence du filtrage dynamique est quil implmente des tables d'tat pour chaque connexion tablie (State table). L'amlioration par rapport au filtrage simple, est la conservation de la trace des sessions et des connexions dans des tables d'tats internes au Firewall. Le Firewall prend alors ses dcisions en fonction des tats de connexions.
Pour TCP, enregistre 2 adresses IP et 2 numros de port dans la table de connexion comme tant tat ouvert
Par dfaut, on permet les connexions de lintrieur (plus scuritaires) vers lextrieur (moins scuritaires).
2. Connexion ouverte
Stateful Firewall
Table de connexion
Type TCP IP Interne 60.55.33.12 Port Interne 62600 IP Externe 123.80.5.34 tat OK
Client 60.55.33.12
5. Vrification de la connexion OK Table de connexion Type TCP IP Interne 60.55.33.12 Port Interne 62600 IP Externe 123.80.5.34 Port Externe 80 tat OK
Table de connexion Type TCP UDP IP Interne 60.55.33.12 60.55.33.12 Port Interne 62600 63206 IP Externe 123.80.5.34 1.8.33.4 Port Externe 80 69 tat OK OK
Stateful Firewall
Client 60.55.33.12 2. Vrification dans la table de connexion: Pas de connexion, on rejte le paquet 1. TCP SYN/ACK DE: 10.5.3.4.:80 : 60.55.33.12:64640
Attaquant 10.5.3.4
Table de connexion Type TCP UDP IP Interne 60.55.33.12 60.55.33.12 Port Interne 62600 63206 IP Externe 123.80.5.34 222.8.33.4 Port Externe 80 69 tat OK OK
La politique de scurit mise en oeuvre sur la DMZ est gnralement la suivante : Traffic du rseau externe vers la DMZ autoris ; Traffic du rseau externe vers le rseau interne interdit ; Traffic du rseau interne vers la DMZ autoris ; Traffic du rseau interne vers le rseau externe autoris ; Traffic de la DMZ vers le rseau interne interdit ; Traffic de la DMZ vers le rseau externe refus.
ASDM
Ct administration, nous avons ralis la configuration de lASA en ligne de commande (plus facile de notre point de vue) il est cependant tout fait possible de leffectuer via linterface graphique nomme ASDM (Cisco Adaptive Security Device Manager)