Traduit de Anglais vers Français - www.onlinedoctranslator.

com

chapitre 3

Sécurité du réseau pour les e-Services

Mince Rekhis

slim.rekhis@supcom.tn

SERES – SUP'PTIC - 2023

 Contour

◼ Filtrage de paquets sans état et avec état

◼ Pare-feu proxy

◼ Emplacements et configurations des pare-feu

◼ Pare-feu de nouvelle génération

◼ Identification de l'application

◼ Prévention en temps réel

◼ Prévention des intrusions sur le trafic SSL

 Pare-feu
◼ UNgoulot d'étouffementde contrôle et de suivi

◼ Interconnecte les réseaux avec différents niveaux de confiance/sécurité

◼ Peut être un système informatique unique ou un ensemble de systèmes coopérants

◼ Objectif de conception du pare-feu

◼ Tout le trafic échangé entre réseaux de différents niveaux de confiance doit passer par le
Firewall
◼ Ne laisse passer que le trafic autorisé, tel que défini par la politique de sécurité

◼ Est à l'abri de la pénétration : utilisation d'un système de confiance avec un système d'exploitation sécurisé.

◼ Fournit un emplacement pour surveiller les événements liés à la sécurité (un audit et des alarmes peuvent être mis en œuvre)

◼ Peut être utilisé comme plate-forme pour IPSec pour déployer un VPN

◼ Est une plate-forme pratique pour plusieurs fonctions Internet qui ne sont pas liées à la sécurité (par exemple, NAT)

3
Utilisation de pare-feu pour l'interconnexion des réseaux

Réseau non approuvé

Réseau sécurisé
niveau X

ALERTE!!
Pare-feu

Réseaux locaux l'Internet

Routeur

Serveurs accessibles depuis Internet

Réseau avec niveau de sécurité Y 4

 De bout en bout De bout en bout De bout en bout De bout en bout
Application Application
transport transport transport transport
connexion connexion connexion connexion
Transport Transport

l'Internet l'Internet

Réseau Réseau
accès accès

Physique
État Physique
Info

(b) Pare-feu de filtrage de paquets (c) Pare-feu d'inspection dynamique

Mandataire d'applications Proxy au niveau du circuit

Interne Application Application Externe Interne Application Application Externe

transport transport transport transport
connexion connexion connexion connexion
Transport Transport Transport Transport

l'Internet l'Internet l'Internet l'Internet

Réseau Réseau Réseau Réseau

accès accès accès accès

Physique Physique Physique Physique

(d) Pare-feu proxy d'application (e) Pare-feu proxy au niveau du circuit 5

 Politique d'accès au pare-feu : caractéristiques du filtre

◼ Adresse IP et valeurs de protocole

◼ Contrôle l'accès en fonction des adresses source ou de destination et des numéros de port, de la direction du trafic
(entrant ou sortant) et d'autres caractéristiques du réseau et de la couche de transport

◼ Ce type de filtrage est utilisé par les pare-feu de filtrage de paquets et d'inspection dynamique.

◼ Protocole d'application

◼ Contrôle l'accès en fonction des données de protocole d'application autorisées (par exemple, filtrer les e-mails des serveurs
SMTP spam, désactiver les téléchargements de fichiers volumineux via HTTP)

◼ Utilisé par une passerelle au niveau de l'application

◼ Identité de l'utilisateur

◼ Contrôle l'accès en fonction de l'identité des utilisateurs (qui utilisent une technologie d'authentification sécurisée)

◼ Activité réseau
◼ Contrôle l'accès en fonction de considérations telles que l'heure ou la demande (par exemple, uniquement pendant les heures ouvrables) ou le taux

de demandes (par exemple, pour détecter les tentatives d'analyse)

 Filtrage de paquets Pare-feu

◼ Représente la base des principaux systèmes de pare-feu

◼ Chaque paquet IP (sans contexte) est examiné et un ensemble de règles pour l'autoriser, le refuser

ou le rediriger sont exécutés

◼ Le filtrage est basé sur les informations contenues dans un paquet réseau
◼ Adresses IP source et destination
◼ Numéros des ports source et destination TCP/UDP

◼ Champs de protocole IP (TCP, UDP, ICMP, etc.)

◼ Indicateurs TCP (SYN, ACK, FIN, RST, PSH, etc.)

◼ Type de message ICMP

◼ Interfaces entrantes ou sortantes

◼ Exemple : Refuser tous les paquets entrants sur le port 53 à l'exception de ceux provenant d'adresses

IP approuvées connues. 7
 Règles et politique de filtrage de paquets (1)

◼ Les règles sont implémentées sous forme de listes de contrôle d'accès

◼ Chaque règle est une paire de (sélecteur, action)

◼ Un sélecteur définit s'il y a une règle à appliquer au paquet

◼ Les sélecteurs composites sont autorisés

◼ Sélecteurs := Sélecteur || Sélecteurs {ET/OU} Sélecteurs || (Sélecteurs) || PAS de sélecteurs

◼ Un sélecteur : = <champ, opérateur, valeur>

◼ Champ := {SrcIP, DstIP, SrcPort, DstPort, Protocole, Drapeaux, ICMPType, TTL, LenOperator gth,
Interface_in}

◼ := { =/≠/є/>/…}
◼ Valeur := IPADDR || PORT || Protocole || Drapeau || Genre|| …

8
 Règles et politique de filtrage de paquets (2)

◼ Une action définit quoi faire avec le paquet :

◼ Permettre

◼ Jeter silencieusement (c'est-à-dire nier, laisser tomber]

◼ Rejeter (par exemple, envoyer RST pour TCP, envoyer destination de port ICMP inaccessible pour

UDP)

◼ Générer des alertes (envoyées par e-mails ou messages pop)

◼ Événement de journal

◼ Enregistrer le contenu du paquet

◼ Routage via une interface spécifique

◼ Établir un tunnel IPSec 9

 Comment sont traitées les règles de filtrage de paquets ?
◼ Les règles sont traitées dans l'ordre descendant

◼ S'il existe une correspondance avec l'une des règles, la première règle correspondante de la liste est invoquée pour déterminer
l'action à entreprendre (les règles suivantes sont ignorées)

◼ S'il n'y a pas de correspondance avec l'une des règles, l'action par défaut est prise

◼ Si un protocole est filtré/autorisé tous les protocoles encapsulés héritent de la même décision

◼ Stratégies par défaut possibles

◼ Par défaut= Ignorer

◼ Le trafic qui n'est pas expressément autorisé est interdit

◼ Par défaut = Transférer

◼ La circulation n'est pas expressément interdite est autorisée

◼ Méthodologie de configuration

1.Définir la politique de filtrage des paquets

2.Validez soigneusement la politique

3.Réécrire les règles ACL à partir de la stratégie dans la syntaxe prise en charge par le fournisseur de pare-feu

dix
4.Valider et optimiser les règles
 Filtrage de paquets sans état (1)

◼ La décision est prise par paquet

◼ Aucune information d'état n'est enregistrée

◼ Les ports > 1024 doivent rester ouverts

◼ Si des protocoles dynamiques sont utilisés, des plages entières de ports doivent être autorisées pour que le protocole
fonctionne.

◼ Exemple:
◼ Autoriser l'hôte du réseau interne 193.1.1.0/24 à se connecter au serveur Web externe 193.2.2.1

Action Protection direction source Source du port destination Port dst drapeau

Permettre TCP sortant 193.1.1.0/24 > 1024 193.2.2.1/32 80 *

Permettre TCP entrant 193.2.2.1/32 80 193.1.1.0/24 > 1024 ACK
Refuser * * * * * * *

◼ Le drapeau ACK d'un segment TCP est utilisé pour accuser réception des segments envoyés depuis l'autre hôte.
11
Filtrage de paquets sans état (2)

193.1.1.3 193.2.2.1
Paquet sans périmé
Client HTTP Serveur HTTP
Pare-feu filtrant

Le paquet de réponse est incohérent par rapport à la requête

Les filtres de paquets sans état ne détectent pas les faux paquets hors contexte. 12
 Filtrage de paquets avec état

◼ Assure le suivi des sessions client-serveur

◼ La décision est prise en fonction du contexte d'une connexion

◼ Si un paquet est une nouvelle connexion :

◼ Vérifier la politique de sécurité

◼ Si le trafic est autorisé, acceptez-le et mettez

à jour la table d'état de la connexion

◼ Sinon rejeter le paquet

◼ Si un paquet fait partie d'une

connexion existante :

◼ Si le trafic correspond à une entrée dans la

table d'état, puis acceptez le paquet

◼ Sinon rejeter le paquet

Exemple de table d'état de connexion de pare-feu avec état 13

Filtrage de paquets avec état (2)

193.1.1.3 193.2.2.1
Paquet sans périmé
Client HTTP Serveur HTTP
Pare-feu filtrant

Le pare-feu garde la trace

de cette séance

Le paquet est incohérent par rapport

à la connexion actuelle

14
 Filtrage de paquets avec état : sessions et flux
Session
Flux client vers serveur - doit être activé à l'aide de la règle
Circulation Circulation
initiateur répondeur
(client) (serveur)
Flux serveur vers client – trafic de retour autorisé

◼ Un paquet correspond à une session ; chaque session est associée à une règle de politique de sécurité.

◼ Lorsque vous définissez des règles de stratégie de sécurité :

◼ ne considérez que le sens de flux c2s (client vers serveur).

◼ Définissez des règles de politique qui autorisent ou refusent le trafic dans la direction c2s.

◼ Le flux s2c de retour ne nécessite pas de règle distincte car le trafic de retour est
automatiquement autorisé. 15
 Filtrage de paquets avec état (3) - Exemple de règles

◼ Règles de filtrage mises à jour

◼ Autoriser l'hôte du réseau interne 193.1.1.0/24 à se connecter au serveur Web externe

193.2.2.1
Facultatif

Port Port
Action Direction source destination
src
Protection drapeau
heure d'été

Permettre TCP sortant 193.1.1.0/24 > 1024 193.2.2.1/32 80 *

Permettre TCP entrant 193.2.2.1/32 80 193.1.1.0/24 > 1024 ACK
Refuser * * * * * * *

16
 Exercer
1.Envisagez un pare-feu de filtrage de paquets avec état Écrivez des règles

ACL en tenant compte de la politique "Default=Deny"

◼ Toutes les machines internes (200.1.1.0/24) peuvent utiliser le service HTTP pour se connecter aux serveurs distants ;

◼ À l'exception de la machine 200.1.1.2, qui se voit refuser la connexion à un réseau extérieur pour tous les services demandés ;

◼ Le serveur Web d'entreprise est déployé sur le réseau NSP

◼ L'administrateur Web est autorisé à accéder depuis son hôte (200.1.1.10) au serveur Web d'entreprise distant
(170.170.1.1) pour télécharger son contenu à l'aide de connexions SSH.

◼ 194.1.1.0/24 n'est pas fiable, donc tout accès vers/depuis celui-ci est refusé

◼ Le serveur DNS du FAI (220.22.1.1) est utilisé pour résoudre les adresses IP

2.Réécrivez les règles en tenant compte de la politique "Par défaut = Autoriser"

17
 Filtrage de paquets (Avantages/Faiblesses/Problèmes)

◼ Avantages
◼ Simplicité de mise en œuvre

◼ Transparent pour les utilisateurs et très rapide (le type de pare-feu le plus rapide)

◼ Faiblesses
◼ Ne peut pas protéger contre les attaques qui utilisent des vulnérabilités ou des fonctions spécifiques à l'application

◼ Capacité de journalisation limitée : les journaux contiennent les mêmes informations que celles utilisées pour accéder à la décision de contrôle

◼ Ne prend pas en charge les schémas d'authentification avancée des utilisateurs

◼ Vulnérable aux attaques qui exploitent les problèmes de la spécification TCP/IP et de la pile de protocoles.

◼ Sensible aux failles de sécurité causées par une mauvaise configuration

◼ Questions

◼ La dégradation dépend du nombre de règles appliquées à n'importe quelle interface

◼ Les règles doivent être ordonnées de manière à ce que le trafic le plus courant soit traité en premier

◼ La justesse est plus importante que la vitesse

18
 Passerelle au niveau de l'application

◼ Aussi appelé proxy d'application

◼ A un accès complet au protocole

◼ L'utilisateur demande le service au proxy à l'aide d'applications TCP/IP
◼ Le proxy authentifie l'utilisateur (par exemple, login et mot de passe)

◼ Le proxy contacte l'application sur l'hôte distant et relaie les segments TCP entre le
serveur et l'utilisateur (si cela est acceptable par la politique de filtrage)

◼ Besoin d'un proxy distinct pour chaque service

◼ Certains services prennent naturellement en charge le proxy (par exemple, SMTP, DNS, HTTP) tandis

que d'autres sont plus problématiques

19
 Passerelle au niveau de l'application

◼ Plus sécurisé que les filtres de paquets

◼ Applique une politique distincte pour chaque protocole

◼ Peut autoriser/refuser l'accès à une fonctionnalité spécifique du protocole pris en charge (par exemple, refuser la

commande "put" dans FTP)→Inspection approfondie des paquets

◼ scanne, enregistre et audite le trafic au niveau de l'application.

◼ Introduit une surcharge de traitement supplémentaire

◼ Deux connexions épissées que

le proxy doit synchroniser

◼ Doit examiner et transmettre le

trafic dans chaque direction

20
 Opérations du pare-feu du proxy d'application
2
Filtration

Application
Navigateur Serveur Web
Procuration
1 3 Application
Pare-feu
Requête HTTP Examiné et relayé
60.45.2.6
De 192.168.6.77 Requête HTTP
De 60.45.2.6

Cas du Proxy HTTP

Serveur Web
PC client
192.168.6.77
Filtration: 123.80.5.34
URL bloquées,
Commandes de poste, etc.

21
 Opérations du pare-feu du proxy d'application

Application
Serveur Web
Navigateur Procuration
6 4 Application
Pare-feu
Examiné HTTP
60.45.2.6 Réponse à
HTTP
Réponse à 60.45.2.6
192.168.6.77

Http proxy Serveur Web

PC client 123.80.5.34
192.168.6.77 5
Filtrage sur
Nom d'hôte, URL, MIME, etc.

22
 Filtrage de contenu proxy

◼ Filtrage de contenu HTTP

◼ Filtrage des commandes (POST)

◼ Filtrage d'hôte ou d'URL

◼ MIME et filtrage des extensions de fichiers

◼ Filtrage des scripts HTML

◼ Filtrage de contenu FTP

◼ Interdire Put
◼ Interdire la navigation dans les répertoires

◼ limiter la taille des fichiers

◼ Filtrage de contenu SMTP

◼ Interdire les commandes obsolètes

◼ supprimer les pièces jointes

◼ limiter la taille des pièces jointes

◼ Type MIME
23
 Protections de base par pare-feu proxy d'application

◼ Masquage d'adresse IP

◼ Les attaquants situés après le proxy ne verront que l'adresse IP du pare-

feu du proxy d'application

◼ Destruction d'en-tête de paquet

◼ Prévenir contre les empreintes digitales passives

◼ Arrêt de l'usurpation de protocole avec application de protocole

◼ Problème de tunnel HTTP

◼ Le tunneling HTTP effectue l'encapsulation du protocole, en enfermant les
paquets de données d'un protocole refusé dans les paquets HTTP.

24
 Protections principales dues au fonctionnement du relais de pare-feu proxy d'application

Protections offertes automatiquement en relayant :

troyen
Cheval
Application du protocole :
Si utiliser le port 80, doit être HTTP

1. Cheval de Troie transmet

X
Application
sur Port 80
Pare-feu proxy
Interne passer à travers Attaquant
PC client Niveau Internet 2. 1.2.3.4
60.55.33.12 Pare-feu Le protocole n'est pas HTTP
Le pare-feu s'arrête
La transmission
25
 Proxy direct vs proxy inverse
◼ Un proxy inverse se trouve devant les serveurs (par exemple, un serveur Web)

◼ 'AUCUN CLIENT ne peut communiquer directement avec le serveur d'origine

◼ Un proxy direct se trouve devant les clients (par exemple, les navigateurs)

◼ 'NO ORIGIN SEVER peut communiquer directement avec le client

◼ Avantages d'un proxy inverse

◼ Équilibrage de charge en répartissant les demandes entrantes des clients parmi un groupe de serveurs

◼ Accélération Web en mettant en cache le contenu fréquemment demandé

◼ Anonymat en protégeant et masquant les identités des serveurs backend

◼ Sécurité en détectant les logiciels malveillants et en identifiant le contenu malveillant

◼ Prévention contre les DDoS

◼ Chiffrement et déchiffrement du trafic SSL/TLS libérant des ressources précieuses sur le serveur d'origine

◼ Capacités de surveillance en direct et de journalisation

26
 Zone démilitarisée (DMZ)
◼ Un segment d'un réseau ou un réseau entre le réseau protégé et le réseau externe non
protégé. Il est aussi communément appelé réseau de service.
l'Internet
◼ Une DMZ fournit une certaine isolation et une sécurité supplémentaire aux serveurs qui fournissent des
services pour des protocoles tels que HTTP/SHTTP, FTP, DNS et SMTP au grand public.
Frontière
routeur

◼ Aujourd'hui, la grande majorité des systèmes de pare-feu intègrent des interfaces réseau supplémentaires
pour déployer des sous-réseaux isolés (zones démilitarisées) Réseau DMZ interne
Externe
pare-feu

Topologie en T à bastion unique :

Dispose d'une troisième interface réseau local

changer
E-mail DNS
réseau sur bastion vers un
la toile

les serveurs) serveur serveur

DMZ où à l'extérieur
les serveurs visibles sont placés Réseau interne protégé Interne
pare-feu

réseau local

changer
Serveurs d'applications et de bases de données

Serveurs Web, e-mail, DNS

Postes de travail 27
 Pare-feu personnel (1)

◼ Contrôle le trafic entre un ordinateur personnel ou un poste de travail et

Internet ou le réseau d'entreprise
◼ Pour un usage domestique ou professionnel

◼ Il s'agit généralement d'un module logiciel sur un ordinateur personnel

◼ Peut être logé dans un routeur qui connecte tous les ordinateurs
domestiques à un modem DSL, câble ou autre interface Internet
◼ Le rôle principal est de refuser l'accès à distance non autorisé

◼ Règles de filtrage adaptées aux besoins spécifiques de l'hôte

◼ Peut également surveiller le trafic sortant pour détecter et bloquer l'activité des vers et des
logiciels malveillants
 Pare-feu personnel (2)

◼ Lorsqu'un pare-feu personnel est activé, toutes les connexions entrantes sont généralement refusées, à l'exception de
celles que l'utilisateur autorise explicitement.

◼ Les connexions sortantes sont généralement autorisées.

◼ Exemple de services entrants pouvant être réactivés de manière sélective :

◼ Partage de musique ITunes (3869)
◼ Partage de fichiers personnels (548, 427)

◼ SVC (2401)
◼ Partage Windows (139)
◼ Gnutella/Limewire (6346)
◼ Partage Web personnel (80, 427)
◼ CRI (194)
◼ Connexion à distance—SSH (22)

◼ Messagerie MSN (6891-6900)

◼ Accès FTP (20-21, 1024-65535 du 20-21)
◼ Heure réseau (123)
◼ Partage d'imprimante (631, 515)

◼ PME (sans netbios–445)

◼ Rendez-vous Chat (5297, 5298)
◼ VNC (5900-5902) 29
 Pare-feu de nouvelle génération

◼ Ne vous contentez pas de suivre les domaines et les numéros de port du trafic

◼ Ils effectuent une inspection approfondie des paquets

◼ Surveiller le contenu des messages et détecter l'exfiltration de données

◼ Détecter la propagation des logiciels malveillants

◼ Peut détecter les intrusions et réagir en temps réel pour stopper les menaces

◼ Prend en charge le VPN

30
 Pare-feu de nouvelle génération

◼ Inclure plusieurs fonctionnalités de sécurité (pare-feu réseau, prévention des intrusions réseau,

sécurité des e-mails, détection des logiciels malveillants, filtrage d'URL, …) intégrées dans une seule
appliance, mais les licences peuvent être sélectives

◼ Par conséquent, il n'est pas nécessaire de configurer, de déployer et de gérer une

gamme d'appareils et de progiciels distincts.

◼ Au fur et à mesure que le matériel a progressé, la capacité de ces solutions à atteindre des vitesses

multigigabit a commencé à prouver qu'elles étaient effectivement capables d'être déployées en

entreprise.

◼ Il est conseillé aux clients de se procurer des appareils très performants et à haut débit

afin de minimiser la dégradation des performances

31
Pare-feu de nouvelle génération

Trafic entrant brut

Module de routage

Module VPN

Module pare-feu

Module de journalisation et de rapport

Heuristique
antivirus

Moteur d'analyse de données

analyse
moteur
moteur

Anomalie
Moteur IDS
détection

Activité
Moteur IPS inspection
moteur

Module de filtrage Web

Module anti-spam

Module VPN

Module de mise en forme de la bande passante

Trafic contrôlé propre

32
 Pare-feu de nouvelle génération

1. Le trafic entrant est déchiffré, avant son inspection initiale, si l'appareil fonctionne comme un nœud de frontière VPN

2. Un module de pare-feu initial filtre le trafic, rejetant les paquets qui enfreignent les règles

3. Au-delà de ce point, un certain nombre de modules traitent des paquets individuels et des flux de paquets à
différents niveaux de protocole. Un moteur d'analyse de données est chargé de suivre les flux de paquets et de
coordonner le travail des moteurs antivirus, IDS et IPS

4. Le moteur d'analyse de données réassemble également les charges utiles multipaquets pour l'analyse de contenu par le
moteur antivirus et les modules de filtrage Web et antispam

5. Certains trafics entrants peuvent nécessiter un nouveau chiffrement pour maintenir la sécurité du flux au sein du
réseau de l'entreprise

6.Toutes les menaces détectées sont signalées au module de journalisation et de rapport, qui est utilisé pour émettre des alertes

7. Le module de mise en forme de la bande passante peut utiliser divers algorithmes de priorité et de qualité de service (QoS) pour
optimiser les performances

33
 Identification de l'application

◼ Bien que le pare-feu puisse classer le trafic par port comme le fait un pare-
feu traditionnel, le pare-feu de nouvelle génération est conçu pour examiner
l'application associée au trafic afin de fournir un contrôle plus granulaire des
données sur votre réseau.

◼ Qu'est-ce qu'une candidature ?

Gmail
◼ Unapplicationest un programme Hangouts Google
Google Agenda
ou une fonctionnalité spécifique
dont la communication peut être
surveillée et contrôlée. Microsoft SQL

Skype

BitTorrent 34
 Pare-feu basés sur les ports et pare-feu de nouvelle génération

Pare-feu traditionnels Pare-feu de nouvelle génération avec App-ID

Règle de pare-feu :AUTORISER Port 53 Règle de pare-feu :AUTORISER DNS

DNS DNS DNS DNS

Pare-feu Pare-feu
Port 53 Port 53
BitTorrent (sur le port 53 ) BitTorrent BitTorrent

Paquet sur le port 53 :Permettre DNS = DNS :Permettre

Paquet sur le port 53 :Permettre BitTorrent ≠ DNS :Refuser
Visibilité : Port 53 autorisé Visibilité : BitTorrent détecté et
bloqué
 Logiciels malveillants Zero-Day : IPS contre App-ID

Pare-feu traditionnels + IPS Pare-feu de nouvelle génération avec App-ID

Règle de pare-feu:AUTORISER Port 53 Règle de pare-feu :AUTORISER DNS

Règle IPS d'application :BlocBitTorrent

Pare-feu IPS de l'application Pare-feu

DNS DNS DNS DNS DNS

BitTorrent BitTorre NT BitTorrent

Zero-day Zero-day Zero-day Zero-day C2

C2 C2 C2

Paquet sur le port 53 :Permettre C2 ≠ DNS = DNS :Permettre

BitTorrent :Permettre Visibilité : paquet sur C2 ≠ DNS :Refuser
le port 53 autorisé Visibilité : trafic inconnu détecté
et bloqué
36
 Identification des applications en UDP et TCP

◼ Si l'application utilise le trafic UDP

◼ Dans la plupart des cas, toutes les informations dont le pare-feu a besoin sont contenues dans le

premier paquet

◼ Si l'application utilise TCP

◼ Les applications qui utilisent TCP nécessitent généralement plusieurs transferts de paquets pour

identifier une application.

◼ Dans les données HTTP, les données d'application peuvent résider soit dans la requête HTTP Get

du client, soit dans la réponse du serveur.

◼ Le pare-feu devra peut-être examiner le cinquième paquet (HTTP apparaît après la

négociation TCP à trois voies), par exemple, avant que App-ID puisse détecter
l'application.
37
App-ID et UDP
Le premier paquet UDP

Adresse Src et adresse Dst

Port Src et port Dst

Application Data

38
 App-ID et TCP
SYN
▪ Adresse Src et adresse Dst
▪ Port Src et port Dst
Client Serveur

Exemple
d'un
HTTP
la toile
Paquet TCP
demande

Application Data

39
 Changements d'application

◼ Le trafic réseau peut passer d'une application à une autre au cours d'une session.

◼ À mesure que davantage de paquets sont reçus, App-ID peut être en mesure de classer davantage le trafic.

◼ Le pare-feu de nouvelle génération peut détecter les changements d'application au sein d'une session établie.

◼ Lorsqu'une stratégie est créée pour autoriser les applications dépendantes, vous vous assurez
également que le pare-feu autorise les autres applications dont l'application dépend.

changement
changement changement

la toile
navigation sur le Web SSL facebook-base facebook-chat
serveur

la toile
client
syn syn ack HTTP OBTENIR
/ack 40
 Détermination des dépendances d'application

Objets > Applications

Pour qu'un pare-feu puisse laisser passer le trafic des applications, toutes
les applications répertoriées dans sonDépend dedoit également être
autorisé par la politique de sécurité.
41
Détermination des dépendances d'application

42
 Filtre d'applications

◼ Les applications peuvent être regroupées sur des attributs d'application (Catégorie,

Sous-catégorie,Technologie,Risque, etCaractéristique).

◼ Les filtres d'application peuvent activer/refuser l'accès aux applications qui

correspondent à ces critères de filtre plutôt qu'à des noms d'application

spécifiques.

◼ Par exemple, vous souhaitez permettre aux employés de choisir leurs propres programmes de bureau

(tels que Evernote, Google Docs ou Microsoft Office 365) pour une utilisation professionnelle.

◼ Pour activer ces types d'applications, créez un filtre d'application qui correspond
sur leCatégorieles systèmes d'entreprise et lesSous-catégorieofficeprograms,
comme illustré dans cet exemple.

43
 Contrôle des applications inconnues

inconnu-tcp
inconnu-udp
navigation sur le Web

* Créer une règle pour

identifier l'application
Créer une coutume trafic basé sur sa zone * * Bloquer unknown-tcp,
candidature avec un source et son adresse IP, sa unknown-udp dans un
signature personnalisée zone de destination et son règle de sécurité
adresse IP, ainsi que son
port et son protocole

* Empêcherait le pare-feu d'utiliser App-ID pour traiter les données d'application dans le but d'identifier une application.

* * Pourrait bloquer plus de trafic que prévu

44
 Prévention en temps réel

◼ Antivirus : Détecte les fichiers infectés transférés avec l'application

◼ Anti-spyware : détecte les téléchargements de logiciels espions et le trafic provenant de logiciels espions déjà

installés

◼ Protection contre les vulnérabilités : détecte les tentatives d'exploitation des vulnérabilités

logicielles connues

◼ Filtrage d'URL : classe et contrôle la navigation Web en fonction du contenu

◼ Blocage de fichiers : suit et bloque les chargements et téléchargements de fichiers en fonction du type de fichier et

de l'application

◼ Filtrage des données : identifie et bloque le transfert de modèles de données spécifiques trouvés dans

le trafic réseau

◼ Renseignements sur les menaces : transfère les fichiers inconnus au service cloud distant pour l'analyse des

logiciels malveillants 45
 Techniques utilisées

◼ Motifs prédéfinis :Utilisez les modèles de données prédéfinis pour analyser les fichiers à la

recherche de numéros de sécurité sociale et de cartes de crédit.

◼ Expression régulière:Créez des modèles de données personnalisés à l'aide

d'expressions régulières.

◼ Propriétés du fichier :Analysez les fichiers pour des propriétés et des valeurs de fichier spécifiques.

◼ Détection d'une anomalie:Détecter les activités anormales des utilisateurs à l'aide de techniques

basées sur l'apprentissage automatique

46
 Protection en temps réel
◼ Lorsqu'une menace est détectée, plusieurs actions peuvent être entreprises :

◼ Autoriser : autorise le trafic sans journalisation

◼ Alerte : Génère une entrée de journal et autorise le trafic

◼ Drop : supprime le trafic et génère une entrée de journal

◼ Réinitialiser le client : pour TCP, réinitialise le client-

connexion latérale. Pour UDP, abandonne la connexion.

◼ Réinitialiser le serveur : pour TCP, réinitialise la connexion côté

serveur. Pour UDP, abandonne la connexion.

◼ Réinitialiser les deux : pour TCP, réinitialise la connexion sur le client et le serveur. Pour UDP,
abandonne la connexion.

◼ Bloquer l'IP : bloque le trafic provenant soit d'une source, soit d'une source et d'une destination, et pendant un

nombre configurable de secondes.

◼ Opération gouffre 47
 Télémétrie et Threat Intelligence
◼ Une entreprise peut participer à la télémétrie, une approche communautaire de la prévention des menaces.

◼ La télémétrie permet à votre pare-feu de collecter et de partager périodiquement des informations sur les
applications, les menaces détectées, les informations DNS détectées et la santé de l'appareil avec un réseau
particulier.

◼ Le fournisseur de services de sécurité cloud utilise les renseignements sur les menaces recueillis à partir de la télémétrie
pour fournir un système de prévention des intrusions (IPS) amélioré et des signatures de logiciels espions au pare-feu de
l'entreprise et à d'autres clients dans le monde.
Menace
Intelligence
Prestations de service

Informations sur les menaces épurées

48
 Télémétrie et Threat Intelligence : Exemple
◼ Lorsqu'un événement de menace déclenche une vulnérabilité ou des signatures
de logiciels espions, le pare-feu partage les URL associées à la menace avec le
fournisseur de services de sécurité cloud.

◼ Ce dernier, doté d'une équipe de recherche sur les menaces, peut correctement classer les URL

comme malveillantes.

◼ Les signatures de prévention des menaces critiques peuvent être diffusées plus

rapidement à tous les clients

49
 Pare-feu de nouvelle génération et déchiffrement du trafic

◼ Chaque année, davantage de trafic Web est crypté.

◼ Trafic SSL/TLS entrant et sortant

◼ SSHv2

◼ Les IPS/pare-feu doivent être capables de déchiffrer le trafic, d'appliquer la politique, de

détecter et de prévenir les attaques

Application
Crypté
Présentation

TLS/SSL
Ports
Non crypté
Adresses IP
Adresses MAC
Matériel

50
 Pare-feu de nouvelle génération et déchiffrement du trafic

◼ Considérez un scénario dans lequel un utilisateur interne se connectera via

une connexion SSL/TLS cryptée à Facebook.

◼ La politique de l'entreprise est d'autoriser les employés à lire Facebook mais

d'empêcher le chat et la publication sur Facebook.

◼ Si le déchiffrement SSL/TLS n'est pas rendu possible, le pare-feu ne peut pas identifier

quelle application se trouve à l'intérieur de la connexion SSL, ni reconnaître que des

changements d'application se produisent au sein de la connexion.

◼ Si le décryptage SSL est activé, la politique de l'entreprise peut être facilement mise

en œuvre avec le pare-feu.

51
 Présentation de la session SSL/TLS

• SSL/TLS (communément appelé simplement SSL) utilise un cryptage asymétrique et

symétrique.
1 Demande une connexion SSL
1
Envoie le certificat du serveur
2

3 Le client vérifie le certificat du serveur

E voir
Envoie la clé de session cryptée
4
Commencer la communication chiffrée
5

52
 Infrastructure à clé publique (ICP)

◼ Résout le problème de l'identification sécurisée des clés publiques

◼ Utilise des certificats numériques pour vérifier les propriétaires de clés publiques

◼ Composants PKI typiques :

Autorité de certification racine Intermédiaire Appareil

Californie

Certifie Certificats
Certificat Certificat Certificat CA de confiance,
BD BD magasin certificats,
clés privées

53
 Chaîne de confiance des certificats

Autorité de certification racine CA intermédiaire Appareil

Certificat numérique Certificat numérique Certificat numérique

Questions Questions
AC émettrice AC émettrice AC émettrice
certificat certificat
Plage de dates valide Plage de dates valide Plage de dates valide

FQDN/IP de l'autorité de certification FQDN/IP de l'autorité de certification FQDN/IP de l'appareil

Utilisations prévues Utilisations prévues Utilisations prévues

Clé publique propre Clé publique propre Clé publique propre

Numéro de série Numéro de série Numéro de série

Émetteur numérique Émetteur numérique Émetteur numérique

Signature Signature Signature

Confiance Confiance Confiance

54
Exemple de certificat

55
 Types de déchiffrement pare-feu/IPS

Proxy de transfert SSL (sortant)

Proxy SSL

Utilisateur interne Extérieur toujours

Inspection SSL entrante

Pas de procuration

Décryptage SSH
Serveur interne Utilisateur externe

56
 Déchiffrement du proxy de transfert SSL

Certificat IPS/Firewall Externe

Interne
Demander SSL
Serveur
Demander SSL
Utilisateur
Connexion Connexion

Le pare-feu signe une copie Le serveur envoie son

du certificat du serveur avec certificat à la Serveur
son propre certificat CA. pare-feu. Certificat

Le client vérifie le certificat CA de l'IPS/du pare-feu.

Clé de session 1 Clé de session 2

57
Transmettre les certificats d'approbation et de non-approbation

Transférer la confiance Faire suivre la méfiance

certificat certificat

Demander SSL Demander SSL

Connexion Connexion

Interne
Utilisateur
Externe
Certificat de serveur
Serveur

Le pare-feu signe une copie d'un Si certificat de serveur

certificat de serveur avec un estde confiance
certificat de confiance de transfert.

Si certificat de serveur
Le pare-feu signe une copie d'un
certificat de serveur avec un certificat estnon fiable
de non-approbation de transfert.

58
 Inspection SSL entrante
Interne L'administrateur importe le même certificat et
clé privée comme serveur.
Externe
Serveur
Utilisateur
L'utilisateur demande un

Connexion SSL.

Le serveur envoie son certificat à l'utilisateur.

Le client vérifie le certificat à partir du serveur.

Clé de session

◼ le certificat et la clé privée du serveur sont importés sur le Firewall, ce dernier peut déchiffrer et lire le
trafic avant qu'il ne transmette ce trafic au serveur

◼ Les données du paquet restent inchangées et la connexion est sécurisée du système client au serveur SSL interne.59
 Proxy de transfert SSL : applications non prises en charge

◼ Certaines applications peuvent ne pas fonctionner avec SSL Forward Proxy :

◼ Applications qui utilisent des certificats côté client

◼ Serveurs utilisant des paramètres cryptographiques non pris en charge

◼ Les applications/clients qui échouent peuvent être ajoutés à un cache d'exclusion

◼ Le déchiffrement ne sera plus tenté pendant une période prédéfinie

après la première occurrence

60
 Mise en miroir des ports de déchiffrement

◼ La fonction de mise en miroir des ports de décryptage permet à un pare-feu de transférer les captures de paquets du trafic
décrypté vers un outil de collecte de trafic pour l'archivage et l'analyse.

◼ Cette fonctionnalité est nécessaire pour les organisations qui ont besoin d'une capture de données complète à des fins médico-légales et
historiques ou pour améliorer la fonctionnalité de prévention de la perte de données.

◼ Exportez les flux décryptés hors d'une interface dédiée sur le pare-feu/IPS

SSL -----
-----
-----
----- SSL
-----
Client -----
----- ----- Serveur
Crypté Texte clair
Crypté
-----
-----
----- paquet
-----
capture

61
 Courtier en décryptage

La chaîne de sécurité analyse le trafic

autorisé et ajoute une application
supplémentaire. Effectuer la
prévention des intrusions Chaîne de sécurité

La chaîne de sécurité renvoie le

trafic autorisé au pare-feu.

Courtier pare-feu/déchiffrement
Zone non fiable/Internet
▪ Effectue une vérification de stratégie
▪ Décrypte le trafic SSL
▪ Inspecte et applique le Zone de confiance/utilisateurs
trafic en clair
▪ Attaquants autorisés Le pare-feu chiffre à
trafic en clair vers la nouveau le trafic autorisé
chaîne de sécurité et le transmet au
destination d'origine.

62
 Courtier en décryptage (2)

◼ Les pare-feu de nouvelle génération peuvent fournir un point central unique pour déchiffrer tout le

trafic réseau.

◼ Le courtier de décryptage permet au pare-feu de transférer le trafic en texte clair vers une chaîne

de sécurité pour une application supplémentaire, ce qui offre une visibilité complète sur le trafic
réseau.

◼ Une chaîne de sécurité est un ensemble d'appliances tierces en ligne dédiées à l'exécution d'une

fonction de sécurité spécifique telle qu'un système de prévention des intrusions ou IPS.

◼ Lorsque le pare-feu reçoit le trafic en retour de la chaîne de sécurité, le

pare-feu rechiffre le trafic et le transmet à sa destination.

63
 Modules matériels de sécurité (HSM)

◼ Dispositifs cryptographiques conçus pour protéger les clés de sécurité

Pare-feu Réseau d'entreprise

être
décrier pté

Décrypté
Données

données

Les clés de sécurité sont protégées

Cryptographique
Moteur HSM

64