Site Internet de Medasys

vaguemedasys_01-1176602 vaguemedasys_02-3669163
vaguemedasys_03-8834069 vaguemedasys_04-9075814 vaguemedasys_05-4112113 vaguemedasys_06-4147452 vaguemedasys_07-9125752 vaguemedasys_08-9470427 vaguemedasys_09-6134940 vaguemedasys_10-8253003
vaguemedasys_11-2909716

forme_haut-5241693
mis-4930267

esecurite-8048242
avissecurite-2384934
nosoutils-3464101
notreservice-6763001
lestechno-9096446
firewalls-8416522
vpn-2164628
detectintrusion-2586799
controlecontenu-5367929
authentification-9809279
lesvirus-2670269
lesproduits-7111438
voscontacts-6023247

detailentreprise-5270326

forme_bas-7848117

victor-6963828

medasysinfra-2485280
esecurite2-4061116

people5-2557473

Technologies : Les Firewalls

La segmentation des flux par filtrage réseau constitue la première étape d’une bonne protection contre le piratage informatique. Le firewall, première brique de la protection d’un système d’information, permet de contrôler la circulation des flux réseaux.
Il peut être installé en périphérie du réseau local de l’entreprise pour contrôler l’accès aux ressources internes depuis l’extérieur, comme par exemple pour protéger une liaison avec Internet, mais également au sein de l’entreprise pour limiter et contrôler la circulation des flux d’information entre entités.

fire1-4483676

Le firewall est un routeur ou un ordinateur spécialisé dans le filtrage du flux d’information, permettant de limiter la circulation des flux et de contrôler l’accès aux ressources informatiques de l’entreprise. Ses caractéristiques initiales sont aujourd’hui complétées par des fonctionnalités souvent liées à son positionnement en tant que garde-barrière sur l’accès Internet. Il agit aussi pour fournir des fonctionnalités complémentaires comme l’authentification des utilisateurs, l’établissement des canaux virtuels chiffrés (VPN) qui assurent la confidentialité des échanges, le filtrage d’URL et le contrôle de contenu.

Le firewall doit suivre les évolutions dictées par la pertinence et l’efficacité des attaques perpétrées par les pirates informatiques, aussi le voit-on évoluer dans ses fonctionnalités intrinsèques de filtrage mais également dans son positionnement. Le firewall « moderne » remplit bien son rôle de première ligne de défense du système d’information en bloquant les attaques réseaux les plus courantes, mais se voit également attribuer la responsabilité du contrôle des flux internes de l’entreprise, ou même la protection de chacun des postes de

travail. Partie intégrante du système d’information, et non plus simple protection d’un accès Internet, il impose des nouvelles contraintes de disponibilité et de répartition de charge bien souvent prise en charge par des équipements extérieurs.

Filtrage des flux informatiques Le filtrage appliqué par le firewall intervient au niveau de la circulation des flux informatiques.

Sur le réseau informatique de l’entreprise circulent des informations qui respectent des protocoles permettant les échanges de paquets de données entre les éléments du système d’information, entre deux machines par exemple. Les firewalls traditionnels ont été conçus pour filtrer les échanges utilisant les protocoles TCP/IP ou IPX/SPX, qui sont les protocoles d’échange les plus usités actuellement. Le filtrage s’effectue en définissant des règles de filtrage qui seront appliquées par le Firewall. Des règles simples du type « Le flux d’impression entre la machine A et l’imprimante B ne doivent pas passer » sont transcrites dans le Firewall pour être appliquées. On parle « d’access list  » ou ACL.

Rappels TCP/IP
Le protocole IP transporte les données des protocoles TCP et UDP. Il assure le routage à
travers le réseau en fonction de l’adresse IP destination. Au niveau TCP ou UDP, les ports source et destination adressent un service ou un processus sur une machine.

fire5-1027482

Filtrage de paquet Le filtrage de paquet par access-list analyse chaque paquet indépendamment. Sur les routeurs Cisco par exemple, les access-list standards tiennent compte de l’adresse IP source et destination et du protocole transporté tandis que les access-list étendues permettent de filtrer les paquets ICMP, TCP et UDP en fonction des numéros de port destination et de flags.

Sur un routeur, les access-lists s’appliquent à une interface sur les paquets entrant ou sortant…

Filtrage de paquet avec état
A la différence du filtrage par access-list, le Filtrage avec état (dénommé StateFull Inspection le plus souvent) tient compte de l’état de la connexion, et conserve en mémoire pendant un certain temps un contexte qui permet de tenir compte des paquets déjà échangés. Il est ainsi possible de mémoriser des informations permettant d’affiner les contrôles sur les flux d’information, comme par exemple le sens d’établissement de la connexion, les ports sources et destination pour les protocoles TCP et UDP…..

Filtrage applicatif
Le contrôle applicatif des données par le Firewall est moins rapide qu’un simple contrôle réseau assuré par les types de firewall présentés précédemment, mais il est aussi beaucoup plus sûr. De plus, il est nécessaire pour le firewall de maîtriser les protocoles réseau mais également les protocoles d’échange applicatif. Le relais applicatif (ou proxy) intercepte les connexions pour établir deux connexions. Il décapsule les données, les contrôle, et reconstitue un nouveau paquet. Les données de chaque paquet TCP ou UDP sont analysées pour vérifier leur conformité avec le protocole.

fire6-9271990

Ainsi, des proxy spécialisés contrôlent l’intégrité des protocoles telnet HTTP, FTP, DNS etc… En plus de ces proxys standards, certains firewalls proxy, proposent des proxys génériques pour traiter les protocoles inconnus qui reconstituent les paquets avec les données applicatives initiales.
Dans la pratique, le démon qui implémente un proxy pour un protocole donné écoute en général sur tous les interfaces du firewall. Toutes les connexions TCP sont acceptées puis coupées si le flux n’est pas autorisé par une règle. Pour protéger le proxy, les firewalls proxy offrent souvent la possibilité de filtrer les paquets avant qu’il ne soient traités par le proxy.

La Translation d’adresse et redirection
Principe
La translation d’adresse consiste à modifier l’adresse IP source ou destination lorsque le paquet transite dans le firewall en fonction de l’adresse source ou destination et du port source ou destination. Lors de cette opération, le firewall conserve en mémoire l’information lui permettant d’appliquer la transformation inverse sur le paquet de retour. La translation d’adresse permet de masquer le plan d’adressage interne à l’entreprise par une ou plusieurs adresses routables sur internet. Elle résout d’une certaine manière, la pénurie d’adresses internet. On distingue trois types de translation :

Translation

Mapping

Utilisation

NAT Statique

Permanent – 1 pour 1

Translation permanente d’une adresse publique vers l’adresse privée d’un serveur

NAT Dynamique

Temporaire – 1 pour 1

Pool d’adresses publiques assignées dynamiquement à des clients internes pendant le temps d’une connexion

PAT

Temporaire – N pour 1

Une adresse publique partagée entre plusieurs clients internes

fire2-8583745

Comme avec la translation d’adresse pour le firewall filtrant, le proxy peut aussi modifier l’adresse source des paquets à destination du serveur pour masquer le réseau interne ou rediriger une connexion vers une autre adresse. On parle alors de redirection puisqu’à la différence de la translation d’adresse, les paquets sont entièrement reconstitués.

Transparence du proxy
Lorsque le proxy est transparent, le client appelle directement l’adresse du serveur. Le firewall intercepte la connexion en se comportant comme le serveur pour le client et comme le client pour le serveur. L’adresse source du paquet que reçoit le serveur est celle du client. On parle alors de transparence client et serveur. En mode non-transparent serveur, le client vise l’adresse IP du firewall masquant ainsi l’adresse IP du serveur. En mode non-transparent client, le fiewall proxy remplace l’adresse source du paquet à destination du serveur par sa propre adresse IP masquant ainsi l’adresse IP du client.

fire3-6039657

Mécanismes d’authentification
Avant de laisser un flux passer, le firewall peut solliciter une authentification de l’utilisateur. Le firewall peut alors gérer sa propre base de comptes ou déléguer l’authentification à un serveur tiers comme le contrôleur de domaine Windows NT ou une base de comptes RADIUS ou LDAP. D’autres outils comme les solution à jetons SecurID ou ActivCard s’intègrent au firewall pour renforcer l’authentification de l’utilisateur.

Le contrôle de contenu
Le firewall peut aussi intégrer des mécanismes de contrôle de contenu ou déléguer ce contrôle à un produit tiers. Le schéma suivant montre comment le Firewall-1 de CheckPoint délègue le contrôle de contenu sur une autre machine via le protocole CVP.

fire4-4732580

Passerelle VPN
Le firewall, positionné à la périphérie du système d’information et notamment en protection de l’accès Internet, est bien placé pour héberger une passerelle VPN. En effet, il peut combiner les fonctions de chiffrement / déchiffrement VPN aux fonctions de filtrage d’accès et de contenu car le flux transitant dans un VPN peut aussi véhiculer une attaque que le firewall doit stopper. Initialement, chaque Firewall possédait sa propre solution VPN. Aujourd’hui, le protocole IpSec s’impose comme un standard garantissant l’interopérabilité des solutions de chiffrement VPN au sein du firewall.

READ  The Penguin and Me LG #49