Chapitre 6 CCoonnttrrôôllee dd’aaccccèèss Filtrage et ACL 1 Filtrage de paquets: principe Filtrage du trafic entrant et du trafic sortant (cid:132) (cid:133) Le firewall laisse ppasser certains ppaqquets et rejjette d’autres ppaqquets selon sa politique de sécurité Trafic entrant Réseau Réseau interne eexxtteerrnnee LAN Trafic sortant Internet FFiirewallll matériel ou logiciel 2 Filtrage de paquets: principe Le filtrage se fait en analysant les en-têtes des protocoles, en (cid:132) ppriorité IP,, UDP et TCP. En général, on définit une règle de filtrage en considérant (cid:132) 1. Adresse IP source 2. Adresse IP destination 3. PPort source 4. Port destination 55. PPrroottooccoollee eennccaappssuulléé ((IICCMMPP, UUDDPP, TTCCPP…)) 6. Flag ACK (de TCP) 7. Type du message ICMP A chaque règle de filtrage est associé une action: (cid:132) (cid:133) LLaiisser passer lle paquett ou (cid:133) Détruire/Rejeter le paquet 3 Exemple de règles de filtrage (cid:132) Politique: Autoriser l’extérieur à accéder au service web sur le réseau périphérique Internet 192.168.22.35 Web/80 RRoouutteeuurr TCP externe Réseau Périphérique RRoouutteeuurr interne Réseau Privé Règle Direction IP Source IP Dest Prot Port Port ACK=1 Action Source paquet Dest A Sortant 192.168.22.35 Toutes TCP 80 > 1023 Oui Autoriser B Entrant Toutes 192.168.22.35 TCP > 1023 80 --- Autoriser CC TToouutteess TToouutteess TToouutteess TToouuss TToouuss TToouuss --- RReeffuusseerr 4 Types de filtrage Filtrage sans état: Stateless (cid:132) (cid:206)Filtrage simple: Regarder chaque paquet à part et le comparer à une liste de règgles préconfiggurées (ACL) (cid:206)Implémenté sur les routeurs et les systèmes d’exploitations (cid:133)Limites Utiliser un trop grand nombre de règles pour que le (cid:206) Firewall offre une réelle protection Sensibles aux attaques IP spoofing / IP flooding; (cid:206) attaques DoS 5 Types de filtrage Filtrage à état: Statefull (cid:132) (cid:206)(cid:206)TTrraacceerr lleess sseessssiioonnss eett lleess ccoonnnneexxiioonnss ddaannss ddeess ttaabblleess d'états internes au Firewall (cid:206)Décider en fonction des états de connexions (cid:206)Exemple: vérifier que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens (cid:206)LL’’applliicattiion ddes rèèglles estt possiibblle sans lliire lles AACCLL àà chaque fois (les paquets d’une connexion actives seront aacccceeppttééss)) 6 Types de filtrage Filtrage applicatif (firewall de type proxy ) (cid:132) (cid:206)Réalisé au niveau de la couche Application (cid:206)Permet d’extraire les données du pprotocole apppplicatif pour les étudier (cid:206)Chaque protocole est filtré par un processus dédié (cid:133)Limites PPrroobbllèèmmeess ddee ppeerrffoorrmmaannccee ppoouurr lleess rréésseeaauuxx àà ggrraanndd (cid:132)(cid:132) trafic 7 PProcessus dde ddéévelloppementt dde ffiillttrreess 8 Processus de développement de filtres Définition des règles de filtrage (cid:132) UUttiilliisseerr llee mmaaxxiimmuumm ddee ccrriittèèrreess ((@@IIPP, ppoorrtt, AACCKK…eettcc)) (cid:132)(cid:132) Permet de mieux lutter contre les attaques (cid:206) PPoouurr cchhaaqquuee sseerrvviiccee iinntteerrnnee eett eexxtteerrnnee (cid:132)(cid:132) Définir des règles pour autoriser les utilisateurs interne à accéder (cid:132) à des services externes Définir des règles pour autoriser des utilisateurs externes à (cid:132) accéder à des serveurs (services) sur le réseau interne PPourr unn serrviice àà auttorriiserr (cid:132)(cid:132) Accepter le flux dans les deux sens (client(cid:198)serveur et (cid:132) sseerrvveeuurr(cid:198)(cid:198)cclliieenntt)) Pour un service à bloquer (cid:132) IIll ssuuffffiitt ddee bbllooqquueerr llee fflluuxx dduu cclliieenntt(cid:198)(cid:198)sseerrvveeuurr (cid:132)(cid:132) 9 Processus de développement de filtres Exemple: (cid:132) (cid:133)(cid:133) SSooiitt llaa ppoolliittiiqquuee:: Accepter HTTP en entrée et en sortie et rien d’autre. Autoriser les utilisateurs internes à accéder aux serveurs web externes (cid:170) Autoriser les utilisateurs externes à accéder au serveur web interne (cid:170) (cid:133) Objectif : développer les règles correspondantes IInntteerrnneett Web/80 192.168.22.35 TCP Web/80 TCP Réseau Périphérique Réseau Privé 10
Description: