Академический Документы
Профессиональный Документы
Культура Документы
Fonctions :
Autoriser ou interdire l’ouverture d’un service donné (audio-video …)
Autoriser un protocole sur un numéro de port donné
Filtrer une adresse source ou destination IP
Filtrer l’usage des ressources internes à l’entreprise
Positionnement :
Formellement, le pare-feu s’arrête à la couche transport (4) ou session (5),
ce qui impose une redirection vers un équipement tiers pour les couches
Hautes. Problème : opérer à la vitesse du fil (wire speed)
Acteurs
Serveurs LAN
DMZ
Internet
FTP
HTTP
Relais SMTP
Switch Eth.
+ Carte pare-feu
Pare-feu
autonome Pare-feu (proxy)
sur serveur traditionnel
Approches sécurité
Un pare-feu opère par filtrage, avec pour certains d’entre eux une analyse
de la charge utile du trafic.
Le filtrage s’appuie en priorité sur les en-têtes IP, UDP et TCP.
L’analyse de la partie applicative (couche 5 du modèle TCP-IP) est réservée à une
catégorie particulière de pare-feu.
Adresse IP source
Adresse IP destination
Protocole (TCP, UDP, ou ICMP)
Numéro de port source TCP ou UDP
Numéro de port destination TCP ou UDP
Type de message ICMP
Taille du paquet
Principe : le filtrage statique compare le contenu des en-têtes IP, TCP et UDP
avec les règles définies par l’administrateur pour autoriser ou non un
paquet entrant ou sortant.
Tous les paquets ne sont pas analysés, la surveillance étant centrée sur la phase
d’établissement de session TCP.
« Statefull inspection » inclut également une analyse de charge utile, de façon à
identifier les attaques de type « déni de service ».
Claude Zurbach – CNRS – Claude.Zurbach@lpta.in2p3.fr
Typologie des pare-feu
Réponse
Réponse
Requête Requête
Autres typologies
Autres typologies
Autres typologies
Réseau Intranet
Pare-feu d’entreprise
Internet
Serveur d’applications
Absence de norme … Tests réalisés par des laboratoires dits « indépendants » sujets
à caution … Méthodologie dépendante des topologies mises en œuvre (solution
unique ou composite, produits etc …).
Une règle : un pare-feu doit être testé par une équipe différente de celle qui a
procédé à la mise en œuvre.
à l’installation
en cas de changement significatif
de manière périodique de façon à verifier la conformité du pare-feu avec la
politique de sécurité
Fenêtre de vulnérabilité
Temps écoulé
Fenêtre de vulnérabilité
version 11.0
logging 192.9.200.1
!
interface FastEthernet 0/0
ip address 192.9.200.254 255.255.255.0
ip access-group 101 out
ip accounting access-violations
!
interface FastEthernet 0/1
ip address 192.9.100.1 255.255.255.0
!
router rip
network 192.9.200.0
!
! Les access-lists
!
access-list 101 deny ip 192.9.200.0 0.0.0.255 any log
access-list 101 deny ip 127.0.0.0 0.255.255.255 any log
!
! Acces aux terminaux virtuels de ce Cisco
! On n'autorise l'acces au Cisco que depuis le réseau interne
!
access-list 98 permit 192.9.200.0 0.0.0.255
!
line vty 0 4
password 7 xxxxxxxxx
access-class 98 in
Claude Zurbach – CNRS – Claude.Zurbach@lpta.in2p3.fr
Les attaques WEB
Application Web
Fonctionnement d’une attaque Web
Attaques d’URL
Attaques SQL
Prévention
Définition
Architecture trois-tiers
Paramètres non validés : requête Web non validée avant son utilisation
Rappels SQL
placer des commandes SQL dans un formulaire HTML (via PERL, ASP,
CGI ou PHP); si les champs ne sont pas validées par le serveur, du code
hostile peut être alors exécuté (login + password sur un SGBD)
Limiter précisément les droits d’accès des utilisateurs, et éviter d’utiliser des
comptes système par défaut (sa de SQL Server); definir des comptes précis
pour des besoins précis
Limiter au niveau d’un pare-feu la taille des URL, pour éviter l’injection de
requêtes SQL)