Professional Documents
Culture Documents
CH 3 - Network Security For
CH 3 - Network Security For
com
chapitre 3
Mince Rekhis
slim.rekhis@supcom.tn
◼ Pare-feu proxy
◼ Identification de l'application
◼ Tout le trafic échangé entre réseaux de différents niveaux de confiance doit passer par le
Firewall
◼ Ne laisse passer que le trafic autorisé, tel que défini par la politique de sécurité
◼ Est à l'abri de la pénétration : utilisation d'un système de confiance avec un système d'exploitation sécurisé.
◼ Fournit un emplacement pour surveiller les événements liés à la sécurité (un audit et des alarmes peuvent être mis en œuvre)
◼ Peut être utilisé comme plate-forme pour IPSec pour déployer un VPN
◼ Est une plate-forme pratique pour plusieurs fonctions Internet qui ne sont pas liées à la sécurité (par exemple, NAT)
3
Utilisation de pare-feu pour l'interconnexion des réseaux
Réseau sécurisé
niveau X
ALERTE!!
Pare-feu
Routeur
l'Internet l'Internet
Réseau Réseau
accès accès
Physique
État Physique
Info
◼ Contrôle l'accès en fonction des adresses source ou de destination et des numéros de port, de la direction du trafic
(entrant ou sortant) et d'autres caractéristiques du réseau et de la couche de transport
◼ Ce type de filtrage est utilisé par les pare-feu de filtrage de paquets et d'inspection dynamique.
◼ Protocole d'application
◼ Contrôle l'accès en fonction des données de protocole d'application autorisées (par exemple, filtrer les e-mails des serveurs
SMTP spam, désactiver les téléchargements de fichiers volumineux via HTTP)
◼ Identité de l'utilisateur
◼ Contrôle l'accès en fonction de l'identité des utilisateurs (qui utilisent une technologie d'authentification sécurisée)
◼ Activité réseau
◼ Contrôle l'accès en fonction de considérations telles que l'heure ou la demande (par exemple, uniquement pendant les heures ouvrables) ou le taux
◼ Chaque paquet IP (sans contexte) est examiné et un ensemble de règles pour l'autoriser, le refuser
◼ Le filtrage est basé sur les informations contenues dans un paquet réseau
◼ Adresses IP source et destination
◼ Numéros des ports source et destination TCP/UDP
◼ Exemple : Refuser tous les paquets entrants sur le port 53 à l'exception de ceux provenant d'adresses
IP approuvées connues. 7
Règles et politique de filtrage de paquets (1)
◼ Champ := {SrcIP, DstIP, SrcPort, DstPort, Protocole, Drapeaux, ICMPType, TTL, LenOperator gth,
Interface_in}
◼ := { =/≠/є/>/…}
◼ Valeur := IPADDR || PORT || Protocole || Drapeau || Genre|| …
8
Règles et politique de filtrage de paquets (2)
◼ Rejeter (par exemple, envoyer RST pour TCP, envoyer destination de port ICMP inaccessible pour
UDP)
◼ Événement de journal
◼ S'il existe une correspondance avec l'une des règles, la première règle correspondante de la liste est invoquée pour déterminer
l'action à entreprendre (les règles suivantes sont ignorées)
◼ S'il n'y a pas de correspondance avec l'une des règles, l'action par défaut est prise
◼ Si un protocole est filtré/autorisé tous les protocoles encapsulés héritent de la même décision
◼ Méthodologie de configuration
3.Réécrire les règles ACL à partir de la stratégie dans la syntaxe prise en charge par le fournisseur de pare-feu
dix
4.Valider et optimiser les règles
Filtrage de paquets sans état (1)
◼ Si des protocoles dynamiques sont utilisés, des plages entières de ports doivent être autorisées pour que le protocole
fonctionne.
◼ Exemple:
◼ Autoriser l'hôte du réseau interne 193.1.1.0/24 à se connecter au serveur Web externe 193.2.2.1
Action Protection direction source Source du port destination Port dst drapeau
◼ Le drapeau ACK d'un segment TCP est utilisé pour accuser réception des segments envoyés depuis l'autre hôte.
11
Filtrage de paquets sans état (2)
193.1.1.3 193.2.2.1
Paquet sans périmé
Client HTTP Serveur HTTP
Pare-feu filtrant
Les filtres de paquets sans état ne détectent pas les faux paquets hors contexte. 12
Filtrage de paquets avec état
193.1.1.3 193.2.2.1
Paquet sans périmé
Client HTTP Serveur HTTP
Pare-feu filtrant
14
Filtrage de paquets avec état : sessions et flux
Session
Flux client vers serveur - doit être activé à l'aide de la règle
Circulation Circulation
initiateur répondeur
(client) (serveur)
Flux serveur vers client – trafic de retour autorisé
◼ Un paquet correspond à une session ; chaque session est associée à une règle de politique de sécurité.
◼ Définissez des règles de politique qui autorisent ou refusent le trafic dans la direction c2s.
◼ Le flux s2c de retour ne nécessite pas de règle distincte car le trafic de retour est
automatiquement autorisé. 15
Filtrage de paquets avec état (3) - Exemple de règles
Port Port
Action Direction source destination
src
Protection drapeau
heure d'été
16
Exercer
1.Envisagez un pare-feu de filtrage de paquets avec état Écrivez des règles
◼ Toutes les machines internes (200.1.1.0/24) peuvent utiliser le service HTTP pour se connecter aux serveurs distants ;
◼ À l'exception de la machine 200.1.1.2, qui se voit refuser la connexion à un réseau extérieur pour tous les services demandés ;
◼ L'administrateur Web est autorisé à accéder depuis son hôte (200.1.1.10) au serveur Web d'entreprise distant
(170.170.1.1) pour télécharger son contenu à l'aide de connexions SSH.
◼ 194.1.1.0/24 n'est pas fiable, donc tout accès vers/depuis celui-ci est refusé
◼ Le serveur DNS du FAI (220.22.1.1) est utilisé pour résoudre les adresses IP
17
Filtrage de paquets (Avantages/Faiblesses/Problèmes)
◼ Avantages
◼ Simplicité de mise en œuvre
◼ Transparent pour les utilisateurs et très rapide (le type de pare-feu le plus rapide)
◼ Faiblesses
◼ Ne peut pas protéger contre les attaques qui utilisent des vulnérabilités ou des fonctions spécifiques à l'application
◼ Capacité de journalisation limitée : les journaux contiennent les mêmes informations que celles utilisées pour accéder à la décision de contrôle
◼ Vulnérable aux attaques qui exploitent les problèmes de la spécification TCP/IP et de la pile de protocoles.
◼ Questions
◼ Les règles doivent être ordonnées de manière à ce que le trafic le plus courant soit traité en premier
◼ Le proxy contacte l'application sur l'hôte distant et relaie les segments TCP entre le
serveur et l'utilisateur (si cela est acceptable par la politique de filtrage)
19
Passerelle au niveau de l'application
◼ Peut autoriser/refuser l'accès à une fonctionnalité spécifique du protocole pris en charge (par exemple, refuser la
20
Opérations du pare-feu du proxy d'application
2
Filtration
Application
Navigateur Serveur Web
Procuration
1 3 Application
Pare-feu
Requête HTTP Examiné et relayé
60.45.2.6
De 192.168.6.77 Requête HTTP
De 60.45.2.6
21
Opérations du pare-feu du proxy d'application
Application
Serveur Web
Navigateur Procuration
6 4 Application
Pare-feu
Examiné HTTP
60.45.2.6 Réponse à
HTTP
Réponse à 60.45.2.6
192.168.6.77
22
Filtrage de contenu proxy
◼ Interdire Put
◼ Interdire la navigation dans les répertoires
◼ Type MIME
23
Protections de base par pare-feu proxy d'application
◼ Masquage d'adresse IP
24
Protections principales dues au fonctionnement du relais de pare-feu proxy d'application
◼ Un proxy direct se trouve devant les clients (par exemple, les navigateurs)
◼ Chiffrement et déchiffrement du trafic SSL/TLS libérant des ressources précieuses sur le serveur d'origine
26
Zone démilitarisée (DMZ)
◼ Un segment d'un réseau ou un réseau entre le réseau protégé et le réseau externe non
protégé. Il est aussi communément appelé réseau de service.
l'Internet
◼ Une DMZ fournit une certaine isolation et une sécurité supplémentaire aux serveurs qui fournissent des
services pour des protocoles tels que HTTP/SHTTP, FTP, DNS et SMTP au grand public.
Frontière
routeur
◼ Aujourd'hui, la grande majorité des systèmes de pare-feu intègrent des interfaces réseau supplémentaires
pour déployer des sous-réseaux isolés (zones démilitarisées) Réseau DMZ interne
Externe
pare-feu
changer
E-mail DNS
réseau sur bastion vers un
la toile
DMZ où à l'extérieur
les serveurs visibles sont placés Réseau interne protégé Interne
pare-feu
réseau local
changer
Serveurs d'applications et de bases de données
◼ Peut être logé dans un routeur qui connecte tous les ordinateurs
domestiques à un modem DSL, câble ou autre interface Internet
◼ Le rôle principal est de refuser l'accès à distance non autorisé
◼ Peut également surveiller le trafic sortant pour détecter et bloquer l'activité des vers et des
logiciels malveillants
Pare-feu personnel (2)
◼ Lorsqu'un pare-feu personnel est activé, toutes les connexions entrantes sont généralement refusées, à l'exception de
celles que l'utilisateur autorise explicitement.
◼ SVC (2401)
◼ Partage Windows (139)
◼ Gnutella/Limewire (6346)
◼ Partage Web personnel (80, 427)
◼ CRI (194)
◼ Connexion à distance—SSH (22)
◼ Ne vous contentez pas de suivre les domaines et les numéros de port du trafic
◼ Peut détecter les intrusions et réagir en temps réel pour stopper les menaces
30
Pare-feu de nouvelle génération
◼ Inclure plusieurs fonctionnalités de sécurité (pare-feu réseau, prévention des intrusions réseau,
sécurité des e-mails, détection des logiciels malveillants, filtrage d'URL, …) intégrées dans une seule
appliance, mais les licences peuvent être sélectives
◼ Au fur et à mesure que le matériel a progressé, la capacité de ces solutions à atteindre des vitesses
◼ Il est conseillé aux clients de se procurer des appareils très performants et à haut débit
31
Pare-feu de nouvelle génération
Module de routage
Module VPN
Module pare-feu
Anomalie
Moteur IDS
détection
Activité
Moteur IPS inspection
moteur
Module anti-spam
Module VPN
1. Le trafic entrant est déchiffré, avant son inspection initiale, si l'appareil fonctionne comme un nœud de frontière VPN
2. Un module de pare-feu initial filtre le trafic, rejetant les paquets qui enfreignent les règles
3. Au-delà de ce point, un certain nombre de modules traitent des paquets individuels et des flux de paquets à
différents niveaux de protocole. Un moteur d'analyse de données est chargé de suivre les flux de paquets et de
coordonner le travail des moteurs antivirus, IDS et IPS
4. Le moteur d'analyse de données réassemble également les charges utiles multipaquets pour l'analyse de contenu par le
moteur antivirus et les modules de filtrage Web et antispam
5. Certains trafics entrants peuvent nécessiter un nouveau chiffrement pour maintenir la sécurité du flux au sein du
réseau de l'entreprise
6.Toutes les menaces détectées sont signalées au module de journalisation et de rapport, qui est utilisé pour émettre des alertes
7. Le module de mise en forme de la bande passante peut utiliser divers algorithmes de priorité et de qualité de service (QoS) pour
optimiser les performances
33
Identification de l'application
◼ Bien que le pare-feu puisse classer le trafic par port comme le fait un pare-
feu traditionnel, le pare-feu de nouvelle génération est conçu pour examiner
l'application associée au trafic afin de fournir un contrôle plus granulaire des
données sur votre réseau.
Skype
BitTorrent 34
Pare-feu basés sur les ports et pare-feu de nouvelle génération
Pare-feu Pare-feu
Port 53 Port 53
BitTorrent (sur le port 53 ) BitTorrent BitTorrent
premier paquet
◼ Dans les données HTTP, les données d'application peuvent résider soit dans la requête HTTP Get
Application Data
38
App-ID et TCP
SYN
▪ Adresse Src et adresse Dst
▪ Port Src et port Dst
Client Serveur
Exemple
d'un
HTTP
la toile
Paquet TCP
demande
Application Data
39
Changements d'application
◼ Le trafic réseau peut passer d'une application à une autre au cours d'une session.
◼ À mesure que davantage de paquets sont reçus, App-ID peut être en mesure de classer davantage le trafic.
◼ Le pare-feu de nouvelle génération peut détecter les changements d'application au sein d'une session établie.
◼ Lorsqu'une stratégie est créée pour autoriser les applications dépendantes, vous vous assurez
également que le pare-feu autorise les autres applications dont l'application dépend.
changement
changement changement
la toile
navigation sur le Web SSL facebook-base facebook-chat
serveur
la toile
client
syn syn ack HTTP OBTENIR
/ack 40
Détermination des dépendances d'application
Pour qu'un pare-feu puisse laisser passer le trafic des applications, toutes
les applications répertoriées dans sonDépend dedoit également être
autorisé par la politique de sécurité.
41
Détermination des dépendances d'application
42
Filtre d'applications
◼ Les applications peuvent être regroupées sur des attributs d'application (Catégorie,
Sous-catégorie,Technologie,Risque, etCaractéristique).
◼ Par exemple, vous souhaitez permettre aux employés de choisir leurs propres programmes de bureau
(tels que Evernote, Google Docs ou Microsoft Office 365) pour une utilisation professionnelle.
◼ Pour activer ces types d'applications, créez un filtre d'application qui correspond
sur leCatégorieles systèmes d'entreprise et lesSous-catégorieofficeprograms,
comme illustré dans cet exemple.
43
Contrôle des applications inconnues
inconnu-tcp
inconnu-udp
navigation sur le Web
* Empêcherait le pare-feu d'utiliser App-ID pour traiter les données d'application dans le but d'identifier une application.
installés
◼ Protection contre les vulnérabilités : détecte les tentatives d'exploitation des vulnérabilités
logicielles connues
◼ Blocage de fichiers : suit et bloque les chargements et téléchargements de fichiers en fonction du type de fichier et
de l'application
◼ Filtrage des données : identifie et bloque le transfert de modèles de données spécifiques trouvés dans
le trafic réseau
◼ Renseignements sur les menaces : transfère les fichiers inconnus au service cloud distant pour l'analyse des
logiciels malveillants 45
Techniques utilisées
◼ Motifs prédéfinis :Utilisez les modèles de données prédéfinis pour analyser les fichiers à la
d'expressions régulières.
◼ Propriétés du fichier :Analysez les fichiers pour des propriétés et des valeurs de fichier spécifiques.
◼ Détection d'une anomalie:Détecter les activités anormales des utilisateurs à l'aide de techniques
46
Protection en temps réel
◼ Lorsqu'une menace est détectée, plusieurs actions peuvent être entreprises :
◼ Réinitialiser les deux : pour TCP, réinitialise la connexion sur le client et le serveur. Pour UDP,
abandonne la connexion.
◼ Bloquer l'IP : bloque le trafic provenant soit d'une source, soit d'une source et d'une destination, et pendant un
◼ Opération gouffre 47
Télémétrie et Threat Intelligence
◼ Une entreprise peut participer à la télémétrie, une approche communautaire de la prévention des menaces.
◼ La télémétrie permet à votre pare-feu de collecter et de partager périodiquement des informations sur les
applications, les menaces détectées, les informations DNS détectées et la santé de l'appareil avec un réseau
particulier.
◼ Le fournisseur de services de sécurité cloud utilise les renseignements sur les menaces recueillis à partir de la télémétrie
pour fournir un système de prévention des intrusions (IPS) amélioré et des signatures de logiciels espions au pare-feu de
l'entreprise et à d'autres clients dans le monde.
Menace
Intelligence
Prestations de service
48
Télémétrie et Threat Intelligence : Exemple
◼ Lorsqu'un événement de menace déclenche une vulnérabilité ou des signatures
de logiciels espions, le pare-feu partage les URL associées à la menace avec le
fournisseur de services de sécurité cloud.
◼ Ce dernier, doté d'une équipe de recherche sur les menaces, peut correctement classer les URL
comme malveillantes.
◼ Les signatures de prévention des menaces critiques peuvent être diffusées plus
49
Pare-feu de nouvelle génération et déchiffrement du trafic
TLS/SSL
Ports
Non crypté
Adresses IP
Adresses MAC
Matériel
50
Pare-feu de nouvelle génération et déchiffrement du trafic
◼ Si le déchiffrement SSL/TLS n'est pas rendu possible, le pare-feu ne peut pas identifier
◼ Si le décryptage SSL est activé, la politique de l'entreprise peut être facilement mise
51
Présentation de la session SSL/TLS
52
Infrastructure à clé publique (ICP)
◼ Utilise des certificats numériques pour vérifier les propriétaires de clés publiques
Certifie Certificats
Certificat Certificat Certificat CA de confiance,
BD BD magasin certificats,
clés privées
53
Chaîne de confiance des certificats
Questions Questions
AC émettrice AC émettrice AC émettrice
certificat certificat
Plage de dates valide Plage de dates valide Plage de dates valide
54
Exemple de certificat
55
Types de déchiffrement pare-feu/IPS
Décryptage SSH
Serveur interne Utilisateur externe
56
Déchiffrement du proxy de transfert SSL
57
Transmettre les certificats d'approbation et de non-approbation
Interne
Utilisateur
Externe
Certificat de serveur
Serveur
Si certificat de serveur
Le pare-feu signe une copie d'un
certificat de serveur avec un certificat estnon fiable
de non-approbation de transfert.
58
Inspection SSL entrante
Interne L'administrateur importe le même certificat et
clé privée comme serveur.
Externe
Serveur
Utilisateur
L'utilisateur demande un
Connexion SSL.
Clé de session
◼ le certificat et la clé privée du serveur sont importés sur le Firewall, ce dernier peut déchiffrer et lire le
trafic avant qu'il ne transmette ce trafic au serveur
◼ Les données du paquet restent inchangées et la connexion est sécurisée du système client au serveur SSL interne.59
Proxy de transfert SSL : applications non prises en charge
60
Mise en miroir des ports de déchiffrement
◼ La fonction de mise en miroir des ports de décryptage permet à un pare-feu de transférer les captures de paquets du trafic
décrypté vers un outil de collecte de trafic pour l'archivage et l'analyse.
◼ Cette fonctionnalité est nécessaire pour les organisations qui ont besoin d'une capture de données complète à des fins médico-légales et
historiques ou pour améliorer la fonctionnalité de prévention de la perte de données.
◼ Exportez les flux décryptés hors d'une interface dédiée sur le pare-feu/IPS
SSL -----
-----
-----
----- SSL
-----
Client -----
----- ----- Serveur
Crypté Texte clair
Crypté
-----
-----
----- paquet
-----
capture
61
Courtier en décryptage
Courtier pare-feu/déchiffrement
Zone non fiable/Internet
▪ Effectue une vérification de stratégie
▪ Décrypte le trafic SSL
▪ Inspecte et applique le Zone de confiance/utilisateurs
trafic en clair
▪ Attaquants autorisés Le pare-feu chiffre à
trafic en clair vers la nouveau le trafic autorisé
chaîne de sécurité et le transmet au
destination d'origine.
62
Courtier en décryptage (2)
◼ Les pare-feu de nouvelle génération peuvent fournir un point central unique pour déchiffrer tout le
trafic réseau.
◼ Le courtier de décryptage permet au pare-feu de transférer le trafic en texte clair vers une chaîne
de sécurité pour une application supplémentaire, ce qui offre une visibilité complète sur le trafic
réseau.
◼ Une chaîne de sécurité est un ensemble d'appliances tierces en ligne dédiées à l'exécution d'une
fonction de sécurité spécifique telle qu'un système de prévention des intrusions ou IPS.
63
Modules matériels de sécurité (HSM)
Décrypté
Données
données
64