1 / 25

SECURITE DU SYSTEME D’INFORMATION (SSI)

Institut Supérieur de Comptabilité et d’Administration des Entreprises. SECURITE DU SYSTEME D’INFORMATION (SSI). 2010-2011. Chapitre 3. Les solutions de sécurité des réseaux. Introduction.

abiba
Download Presentation

SECURITE DU SYSTEME D’INFORMATION (SSI)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Institut Supérieur de Comptabilité et d’Administration des Entreprises SECURITE DU SYSTEME D’INFORMATION (SSI) 2010-2011

  2. Chapitre 3 Les solutions de sécurité des réseaux

  3. Introduction • Chaque ordinateur connecté à Internet (ou à un réseau) est susceptible d'être victime d'une intrusion (risque : altérer l’intégrité du système et des données. • Les pirates ayant l'intention de s'introduire dans les systèmes recherchent dans un premier temps des failles (vulnérabilité) dans les protocoles, les systèmes d'exploitations et les applications. Ils scrutent donc le réseau (en envoyant des paquets de manière aléatoire) à la recherche d'une machine connectée, puis cherchent une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant. • Cette menace est d'autant plus grande que la machine cible est : • connectée en permanence à Internet avec une connexion à haut débit, • connectée sans pour autant être surveillée, • ne change pas (ou peu) d'adresse IP. => Ainsi, il est nécessaire, notamment pour les entreprises connectées à internet et les internautes ayant une connexion de type câble ou ADSL, de se protéger des intrusions en installant un système pare-feu.

  4. Qu’est ce qu’un Firewall ? • Un firewall (pare-feu en français), est un système physique (matériel) ou logique (logiciel) servant d'interface entre un ou plusieurs réseaux afin de contrôler et éventuellement bloquer la circulation des paquets de données, en analysant les informations contenues dans les couches 3, 4 et 7 du modèle OSI. • Il s'agit donc d'une machine (boitier spécifique de firewall matériel ou d'un ordinateur sécurisé hébergeant une application particulière de pare-feu) comportant au minimum deux interfaces réseau : • une interface pour le réseau à protéger (réseau interne) • une interface pour le réseau externe

  5. Interfaces d’un Firewall

  6. Position d’un Fw dans un réseau

  7. Zone démilitarisée • Lorsque certaines machines du réseau interne ont besoin d'être accessible de l'extérieur (comme c'est le cas par exemple pour un serveur web, un serveur de messagerie, un serveur FTP public, ...) il est souvent nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de l'entreprise. • On parle ainsi de zone démilitarisée (souvent notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant des applications mises à disposition du public.

  8. Firewall : zone démilitarisée

  9. Fonctionnement d'un Firewall • Un FW contient un ensemble de règles prédéfinies permettant : • Soit d'autoriser uniquement les communications ayant été explicitement autorisées : "Tout ce qui n'est pas explicitement autorisé est interdit". • Soit d'empêcher les échanges qui ont été explicitement interdits • Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée par l'entité désirant mettre en oeuvre un filtrage des communications. La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en terme de communication.

  10. Fonctionnement d'un Firewall Le filtrage des paquets : • Basé sur le principe du filtrage de paquets IP, c'est-à-dire sur l'analyse des en-têtes des paquets IP échangés entre deux machines. • Les paquets de données contiennent les en-têtes suivants, qui sont analysés par le firewall: • L'adresse IP de la machine émettrice • L'adresse IP de la machine réceptrice • Le type de paquet (TCP, UDP, ...) • Le numéro de port (rappel: un port est un numéro associé à un service ou une application réseau)

  11. Fonctionnement d'un Firewall Filtrage des paquets : • Le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. • filtrage par adresse (adress filtering) : filtrage basé sur les @ IP • filtrage par protocole (protocol filtering) : utilisé lorsque le type de paquets et le port sont analysés. • Certains ports sont associés à des service courants et ne sont généralement pas bloqués. : • les ports 25 et 110 sont généralement associés au email, • le port 80 au Web • Il est recommandé de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue). • Le port 23 est critique (correspond au service Telnet). Il permet d'émuler un accès par terminal à une machine du réseau de manière à pouvoir exécuter des commandes saisies au clavier à distance...

  12. Fonctionnement d'un Firewall Filtrage : • Par numéro IP source • Par numéro IP destination • Par protocole (TCP, UDP, ICMP, IGMP, ARP,...) • Par port (service) TCP ou UDP source • Par port (service) TCP ou UDP destination • Par type de message ICMP (echo_request, echo_reply, …) • Par interface (interne, externe,...) en entrée ou en sortie

  13. Fonctionnement d'un Firewall Filtrage des services : Les principaux services à protéger : • le courrier électronique (SMTP tcp/25, POP3 tcp,udp/110), • le transfert de fichiers (FTP tcp/21, TFTP udp/69), • l’accès par terminal (Telnet tcp/23) et l’exécution de commandes à distance, • les News Usenet (NNTP tcp/119), • le World Wide Web (HTTP tcp,udp/80), • les autres services d’informations (gopher tcp,udp/70), • les informations sur les personnes (finger tcp/79), • les services de conférence en temps réel, • le service de nom (DNS, tcp,udp/53), • les services d’administration réseau (SNMP udp/161,162), • les services d’impression (printer tcp/515)

  14. Fonctionnement d'un Firewall Le filtrage dynamique : • Le filtrage statique ne s'attache qu'à examiner les paquets IP (niveau 3 du modèle OSI). Or, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (de manière aléatoire) un port afin d'établir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible de prévoir les ports à laisser passer ou à interdire. • Pour y remédier, l'entreprise Check point a breveté un système de filtrage dynamique de paquets (stateful inspection) basé sur l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des transactions entre le client et le serveur et d'assurer la bonne circulation des données de la session en cours. • Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège pas pour autant de failles applicatives, c'est-à-dire les failles liées aux logiciels, représentant la part la plus importante des risques en terme de sécurité.

  15. Fonctionnement d’un Firewall

  16. FW : Exemple de règles

  17. Les limites des firewalls • Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue. • Les firewalls ne protègent que des communications passant à travers eux. Ainsi, les accès au réseau extérieur non réalisés au travers du firewall sont autant de failles de sécurité. • C'est par exemple le cas des connexions effectuées à l'aide d'un modem. • D'autre part, le fait d'introduire des supports de stockage provenant de l'extérieur sur des machines internes au réseau peut être fort préjudiciable pour la sécurité de ce dernier. • La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité. • D'autre part la mise en place d'un système pare-feu n'exempt pas de se tenir au courant des failles de sécurité et d'essayer de les minimiser...

  18. Le firewall n’est qu’un acteur d’une politique de sécurité ; il ne peut à lui seul résoudre tous les problèmes de sécurité. L’utilisation d’antivirus, la sensibilisation du personnel, la protection physique des machines sont autant de problèmes qu’un firewall ne peut pas résoudre.

  19. Exemples de Mise en Place des Règles de Filtrage

  20. Exemples de règles de filtrage En général, on définit une règle de filtrage à partir des données suivantes: • Adresse IP source, • Adresse IP destination, • Type de protocole encapsulé (TCP, UDP, ICMP, IP) • Port source (au cas où le protocole est TCP ou UDP) • Port destination (au cas où le protocole est TCP ou UDP)

  21. Exemples de règles de filtrage • Définir une règle de filtrage = définir les valeurs de tous ces 5 paramètres ou de quelque uns. • A chaque règle de filtrage est associé une action: • laisse passer le paquet, • ou le détruire/Refus • Pour chaque service interne et externe: • il faut mettre en place des règles pour autoriser nos utilisateurs à y accéder • et des règles pour autoriser des utilisateurs externes à accéder à des serveurs (services) sur notre réseau.

  22. Exemples de règles de filtrage Internet 193.94.60.1 Externe Web/80 TCP SMTP/25 TCP Routeur Externe 192.168.22.36 Réseau Périphérique 192.168.22.35 DMZ Web/80 TCP Routeur Interne Réseau Privé 192.168.23.0 192.168.24.0 Interne

  23. Exemples de règles de filtrage Autoriser l’extérieur à accéder au service WWW sur le réseau périphérique Service WWW entrant Client Serveur Web Firewall Extérieur DMZ

  24. Exemples de règles de filtrage Autoriser les machines du réseau périphérique à accéder à des services WWW sur l’Internet Service WWW sortant Client Serveur Web Firewall Intérieur (LAN) DMZ

  25. Exemples de règles de filtrage Autoriser l’extérieur à accéder au service WWW sur le réseau périphérique • L’ordinateur 193.94.60.1 accède au serveur WEB • L’ordinateur 193.94.60.1 accède au serveur SMTP • Les autres utilisateurs n’ont pas l’accès au réseau de l’entreprise • Les utilisateurs du réseau interne 192.168.23.0 ont l’accès au serveur externe 193.94.60.1 • Les utilisateurs du réseau interne 192.168.24.0 ont l’accès au serveur Web 192.168.22.35

More Related