Rseaux

Evolutions topologiques des rseaux locaux

Plan

n Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
n VPN
PPTP
IPSEC
VPN SSL

n Du concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels (VLAN)
Introduction la Qos

n Authentification niveau 2

Moyens de scurisation
Interdire les accs non autoriss

Contrler laccs aux sites gourmands en bande passante

Contrler les informations non professionnelles
Piratage

Autoriser les accs pour les applications professionnelles

Virus
Serveurs

Internet
Non professionnel
Firewall

Professionnel
Postes
? Utilisateurs

1
 Scurit en couches (couches TCP/IP)
implmentes en plusieurs points du rseau

Filtres de paquets
entrants 5. Application
(routeur, couche 3)
4. TCP & UDP (transport)
Fonctions SPI et
NAT (pare-feu, 3. IP (rseau)
couche 4)
SPI: Stateful packet 2. Liaison de donnes
Inspection
1. Physique

Filtrage statique / routeur

q Filtrage effectu sur le niveau rseau
adresses IP et numros de ports TCP ou UDP
q Travail au niveau de la pile IP du routeur
q Souvent inadapt pour les protocoles grant les ports dynamiquement
(Peer to Peer, FTP, H323, )

q Utilisation dAccess-lists:
-Couche 3 & 4 du modle TCP/IP
-Examen du contenu des paquets et application de certaines rgles
Transmission du paquet
Suppression du paquet
Logs
Retour dinformations lmetteur
Technologie trs rpandue au dbut dinternet: cest la premire ligne de
dfense
Technique trs utilise mais insuffisante.
q

q Access-lists: voir TP Cisco et ASA

Diffrents types dACLs

n ACL standards et tendues (CISCO)

Adresse source et destination
Ports
Fonctionnement : inspection de chaque paquet
n Remarque : traitement de linformation rapide
n Exemple dACL standard routeur CISCO
Autoriser les paquets (permit)
Interdire les paquets (deny)
access-list 10 permit any 192.168.10.0
access-list 10 permit any 192.168.20.0
access-list 10 deny any 192.168.30.0
n ACL tendue (Cisco)
access-list numro-liste-accs {deny|permit} protocole \
adresse-source masque-source [oprateur port] \
adresse-destination masque-destination [oprateur port] [log]
access-list 101 permit udp any host 192.9.200.1 eq domain

2
 Fonctionnement de linspection de paquets avec
suivi de ltat de connexion (SPI) (1/2)

n StatefullProtocol Inspection : la rgle dpend des informations contenues dans

les enttes IP, UDP, TCP, ICMP du paquet et des paquets qui sont passs avant.
Il y a donc un suivi des connexions.

n Inspection dun premier paquet autoris (par le routeur):

Une entre est cre dans une table (nouvelle connexion)

Fonctionnement de linspection de paquets avec

suivi de ltat de connexion (SPI) (2/2)
n Examen de len-tte du paquet
Adresses source et destination
Type de protocole (TCP, UDP, ICMP)
Ports source et destination
Flags (SYN, ACK, FIN, RST)
n Comparaison aux rgles de contrle du trafic
Exemple: Ne laisser passer que le trafic HTTP
n Gnralement, le pare-feu autorise les connexions vers l'extrieur
=> entre dans la table d'tat
=>les paquets entrants (retours de requtes) appartenant ces connexions
ne sont pas filtrs
tat du module conntrack :
TCP SYN TCP ACK UDP requte DNS
NEW
TCP SYN + ACK UDP rponse DNS
TCP RST ESTABLISHED

TCP ACK

tat ESTABLISHED pou r le

protocole TCP partir dici

Ex : Module Netfilter LINUX

(Commande iptables)

n NEW: une nouvelle connexion est

tablie.
n ESTABLISHED: la connexion
analyse a dj t tablie
n RELATED: la connexion est en
relation avec une autre connexion
dj tablie (par exemple, une
connexion de donne de
type..).
n INVALID: le paquet n'appartient
aucune des trois catgories
prcdentes.

3
 Exemple avec les connexions FTP

Serveur FTP eth0 eth1

n modprobe ip_conntrack_ftp

n iptables -t lter A FORWARD -o eth0 i eth1 -p tcp \
--dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
n iptables -t lter A FORWARD -i eth0 o eth1 -p tcp \
--sport ftp -m state --state ESTABLISHED -j ACCEPT

n iptables -t lter A FORWARD -i eth0 o eth1 -p tcp --sport 20\

-m state --state ESTABLISHED,RELATED -j ACCEPT
n iptables -t lter A FORWARD -o eth0 i eth1 -p tcp --dport 20\
-m state --state ESTABLISHED -j ACCEPT

Rgles de filtrage / Pare-feu

q Rgles balayes dans lordre croissant
Ncessit de mettre les rgles les plus utilises au dbut
(performance)
Ncessit de mettre les rgles les plus restrictives avant les
autres (ex.: si une machine certains droits et le rseau auquel
elle appartient ne les a pas)
q Interdire tout trafic vers le pare-feu
q Rgle implicite interdisant tout trafic ne correspondant pas une
rgle explicite

Interface graphique pour iptables/netfilter:

fwbuilder

4
 Pare-feux applicatifs
n Vrification complte de la validit des informations changes dans la
connexion
Ex: protocole HTTP dans connexion port destination 80
n Ncessitent beaucoup plus de puissance de calcul
n Conviennent aux applications qui utilisent lattribution de port dynamiquement
Non ncessit de laisser des ports ouverts de manire statique (les ports
restent ouverts uniquement le temps de la session)
Cas du FTP (connexion DATA)
n Nombre limit dapplications connues sur chaque pare-feu
Dpend du constructeur, du modle, des modules dextensions choisis, etc

Exemple: FFS et CABC sur routeurs Cisco

n FFS: Firewall Feature Set
mises en place dAccess-lists statiques et dynamiques pour filtrer
n Module CBAC
n Ip inspect name nom_protocole
n Protocoles connus: (telnet, http, https, smtp, tftp, snmp, ftp, H323, RPC, Oracle
ODAS, etc)
n Suivi de ltat des sessions
Suivi des sessions TCP demi-ouvertes, ouvertes et fermes pour viter les
attaques SYN Flood
Numros de session et dbits de transmission doivent tre compris dans
des seuils dfinis par ladministrateur

n Journalisation des sessions

Dates et heures
Htes source et destination
Ports
Nombre total doctets transmis

Pare-feux avec identification

n Laisse passer le trafic en fonction de lutilisateur, de son ordinateur, des logiciels

prsents (version dantivirus, etc)
Base de comptes locales au pare-feu
Pare-feu client LDAP, Radius, Tacacs, Kerberos, etc.
n Voir TP ASA 5505 pour mise en place de ces techniques
n Exemple
Serveur Radius
client
Radius

Internet

Firewall

Login Windows Seven

+ password + Mises jour Serveurs
+Certificat + Antivirus jour

5
 Limitations des pare-feux

n Ne peuvent empcher des utilisateurs ou attaquants utilisant des modems

daccder lintrieur du rseau

n Ne peuvent empcher une mauvaise utilisation des mots de passe (non respect
de la stratgie de mots de passe par les utilisateurs)

n Concentration du trafic en un seul point = goulet dtranglement = source de

panne fatale

Translation dadresse: NAT

n NAT statique
Mme adresse IP publique une adresse IP prive donne
Ex : serveur WEB

n NAT dynamique
Associe une adresse IP prive une adresse publique alatoire tire d'un
groupe (pool)

n PAT (Port Address translation)

Associe une seule adresse publique plusieurs adresses prives en
utilisant divers ports
Rappel : 65 535 ports TCP sont supports par adresse IP

Filtrage et NAT sur Linux

nat filter nat

Rseau PREROUTING route? FORWARD POSTROUTING Rseau

route?

filter
INPUT
filter
OUTPUT
nat
OUTPUT

Processus local

6
 Scurit avec NAT

n Plus difficile pour un attaquant de :

Dterminer la topologie du rseau et le type de connectivit de l'entreprise

cible

Identifier le nombre de systmes qui s'excutent sur le rseau

Identifier le type des machines et leurs systmes d'exploitation

Raliser des attaques de type dni de service (Ex : SYN Flood, scan de
ports, injection de paquets)

Inconvnients de NAT

n Connexions UDP mal gres

Estimation du temps o la connexion doit rester ouverte

n D'autres protocoles sont mal grs

Kerberos, X Windows, rsh (remote shell), SIP (Session Initiation Protocol)

n Systmes de chiffrement et d'authentification

Ces systmes sont bass sur l'intgrit des paquets
Or NAT modifie ces paquets

n Journalisation complique
Mise en corrlation des journaux demande d'intgrer les traductions
ralises par NAT

n Problme de partage d'adresse avec PAT

Authentification auprs d'une ressource extrieure protge (tous les
utilisateurs partageant la mme adresse risquent de pouvoir utiliser cette
ressource)

Pare-feux personnels
n Peut-tre intgr au systme (Windows, Mac)
Ex Windows => dans le panneau de configuration

7
 Pare-feux personnels

Pare-feux personnel

Windows XP :netsh firewall set icmpsetting 8 enable

Vista, Seven: netsh advfirewall firewall add rule name=ping entrant ok
protocol=icmpv4:8,0 dir=in action=allow

Pare feu personnel (Seven)

8
 Autres caractristiques des pare-feux

n Pare-feu tout en un: intgrent les fonctionnalits suivantes:

n Routeur

n Commutateur ethernet

n Point daccs sans fil

n pare-feu

n Pare-feu pour bureau de taille moyenne

n Ex : ASA5505 Cisco, Watchguard sries 5 et 8, F50 Netasq

n Pare-feu dentreprise
n Ex : ASA5515, F200 Netasaq Watchguard 1050, 1500, etc

n Diffrences entre les gammes de pare-feux

Nombre de connexions supportes
Capacit CPU, mmoire (RAM ou flash)
Souvent modulaires
Nombre de DMZ
Nombre de tunnels simultans
Bande passante dans tunnels.

Plan

q Infrastructures dentreprises
q Routeurs et Firewall
q Topologie et DMZ
q Proxy
q VPN
q PPTP
q IPSEC

q Du concentrateur la commutation
q Hubs et switchs
q Rseaux locaux virtuels
q Introduction la Qos

q Authentification niveau 2

Zone dmilitarise
(DMZ, Demilitarized Zone)

n Zone du rseau interne isole (entre la zone publique et la zone prive)

Serveur web
Serveur de messagerie
Serveur FTP
Serveur DNS (donnes publiques, donnes internes)
...

n Cela permet au trafic venant dinternet daller dans cette zone, mais pas de
pntrer ailleurs sur le rseau interne

n Possibilit dauditer le trafic chang avec la DMZ

n Possibilit de placer un systme de dtection dintrusion

9
 Localisation et fonction dune DMZ
Rseau
dentreprise public
interne (priv)
Pare-feu Routeur
209.164.3.1
192.168.2.1
Internet
209.164.3.2
152.77.128.1

192.168.2.10 Serveur de messagerie

Serveur FTP 152.77.128.103

Zone dmilitarise (DMZ)

Serveur DNS
Serveur web 152.77.128.104

Autre architecture avec DMZ

Rseau
dentreprise
interne (priv) public

Pare-feu Pare-feu Routeur

Internet

Serveur de messagerie
Serveur FTP

Serveur DNS
Serveur web
Zone dmilitarise (DMZ)

Plan

n Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
n VPN
PPTP
IPSEC
VPN SSL

n Du concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels
Introduction la Qos

n Authentification niveau 2

10