Professional Documents
Culture Documents
Plan
n Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
n VPN
PPTP
IPSEC
VPN SSL
n Du concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels (VLAN)
Introduction la Qos
n Authentification niveau 2
Moyens de scurisation
Interdire les accs non autoriss
Virus
Serveurs
Internet
Non professionnel
Firewall
Professionnel
Postes
? Utilisateurs
1
Scurit en couches (couches TCP/IP)
implmentes en plusieurs points du rseau
Filtres de paquets
entrants 5. Application
(routeur, couche 3)
4. TCP & UDP (transport)
Fonctions SPI et
NAT (pare-feu, 3. IP (rseau)
couche 4)
SPI: Stateful packet 2. Liaison de donnes
Inspection
1. Physique
q Utilisation dAccess-lists:
-Couche 3 & 4 du modle TCP/IP
-Examen du contenu des paquets et application de certaines rgles
Transmission du paquet
Suppression du paquet
Logs
Retour dinformations lmetteur
Technologie trs rpandue au dbut dinternet: cest la premire ligne de
dfense
Technique trs utilise mais insuffisante.
q
2
Fonctionnement de linspection de paquets avec
suivi de ltat de connexion (SPI) (1/2)
TCP ACK
3
Exemple avec les connexions FTP
n modprobe
ip_conntrack_ftp
n iptables
-t
lter
A
FORWARD
-o
eth0
i
eth1
-p
tcp
\
--dport
ftp
-m
state
--state
NEW,ESTABLISHED
-j
ACCEPT
n iptables
-t
lter
A
FORWARD
-i
eth0
o
eth1
-p
tcp
\
--sport
ftp
-m
state
--state
ESTABLISHED
-j
ACCEPT
4
Pare-feux applicatifs
n Vrification complte de la validit des informations changes dans la
connexion
Ex: protocole HTTP dans connexion port destination 80
n Ncessitent beaucoup plus de puissance de calcul
n Conviennent aux applications qui utilisent lattribution de port dynamiquement
Non ncessit de laisser des ports ouverts de manire statique (les ports
restent ouverts uniquement le temps de la session)
Cas du FTP (connexion DATA)
n Nombre limit dapplications connues sur chaque pare-feu
Dpend du constructeur, du modle, des modules dextensions choisis, etc
Internet
Firewall
5
Limitations des pare-feux
n Ne peuvent empcher une mauvaise utilisation des mots de passe (non respect
de la stratgie de mots de passe par les utilisateurs)
n NAT statique
Mme adresse IP publique une adresse IP prive donne
Ex : serveur WEB
n NAT dynamique
Associe une adresse IP prive une adresse publique alatoire tire d'un
groupe (pool)
route?
filter
INPUT
filter
OUTPUT
nat
OUTPUT
Processus local
6
Scurit avec NAT
Raliser des attaques de type dni de service (Ex : SYN Flood, scan de
ports, injection de paquets)
Inconvnients de NAT
n Journalisation complique
Mise en corrlation des journaux demande d'intgrer les traductions
ralises par NAT
Pare-feux personnels
n Peut-tre intgr au systme (Windows, Mac)
Ex Windows => dans le panneau de configuration
7
Pare-feux personnels
Pare-feux personnel
8
Autres caractristiques des pare-feux
n Commutateur ethernet
n pare-feu
n Pare-feu dentreprise
n Ex : ASA5515, F200 Netasaq Watchguard 1050, 1500, etc
Plan
q Infrastructures dentreprises
q Routeurs et Firewall
q Topologie et DMZ
q Proxy
q VPN
q PPTP
q IPSEC
q Du concentrateur la commutation
q Hubs et switchs
q Rseaux locaux virtuels
q Introduction la Qos
q Authentification niveau 2
Zone dmilitarise
(DMZ, Demilitarized Zone)
n Cela permet au trafic venant dinternet daller dans cette zone, mais pas de
pntrer ailleurs sur le rseau interne
9
Localisation et fonction dune DMZ
Rseau
dentreprise public
interne (priv)
Pare-feu Routeur
209.164.3.1
192.168.2.1
Internet
209.164.3.2
152.77.128.1
Internet
Serveur de messagerie
Serveur FTP
Serveur DNS
Serveur web
Zone dmilitarise (DMZ)
Plan
n Infrastructures dentreprises
Routeurs et Firewall
Topologie et DMZ
Proxy
n VPN
PPTP
IPSEC
VPN SSL
n Du concentrateur la commutation
Hubs et switchs
Rseaux locaux virtuels
Introduction la Qos
n Authentification niveau 2
10