ebook img

Filtrage et ACL PDF

44 Pages·2012·1.71 MB·French
by  
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Filtrage et ACL

Chapitre 6 CCoonnttrrôôllee dd’aaccccèèss Filtrage et ACL 1 Filtrage de paquets: principe Filtrage du trafic entrant et du trafic sortant (cid:132) (cid:133) Le firewall laisse ppasser certains ppaqquets et rejjette d’autres ppaqquets selon sa politique de sécurité Trafic entrant Réseau Réseau interne eexxtteerrnnee LAN Trafic sortant Internet FFiirewallll matériel ou logiciel 2 Filtrage de paquets: principe Le filtrage se fait en analysant les en-têtes des protocoles, en (cid:132) ppriorité IP,, UDP et TCP. En général, on définit une règle de filtrage en considérant (cid:132) 1. Adresse IP source 2. Adresse IP destination 3. PPort source 4. Port destination 55. PPrroottooccoollee eennccaappssuulléé ((IICCMMPP, UUDDPP, TTCCPP…)) 6. Flag ACK (de TCP) 7. Type du message ICMP A chaque règle de filtrage est associé une action: (cid:132) (cid:133) LLaiisser passer lle paquett ou (cid:133) Détruire/Rejeter le paquet 3 Exemple de règles de filtrage (cid:132) Politique: Autoriser l’extérieur à accéder au service web sur le réseau périphérique Internet 192.168.22.35 Web/80 RRoouutteeuurr TCP externe Réseau Périphérique RRoouutteeuurr interne Réseau Privé Règle Direction IP Source IP Dest Prot Port Port ACK=1 Action Source paquet Dest A Sortant 192.168.22.35 Toutes TCP 80 > 1023 Oui Autoriser B Entrant Toutes 192.168.22.35 TCP > 1023 80 --- Autoriser CC TToouutteess TToouutteess TToouutteess TToouuss TToouuss TToouuss --- RReeffuusseerr 4 Types de filtrage Filtrage sans état: Stateless (cid:132) (cid:206)Filtrage simple: Regarder chaque paquet à part et le comparer à une liste de règgles préconfiggurées (ACL) (cid:206)Implémenté sur les routeurs et les systèmes d’exploitations (cid:133)Limites Utiliser un trop grand nombre de règles pour que le (cid:206) Firewall offre une réelle protection Sensibles aux attaques IP spoofing / IP flooding; (cid:206) attaques DoS 5 Types de filtrage Filtrage à état: Statefull (cid:132) (cid:206)(cid:206)TTrraacceerr lleess sseessssiioonnss eett lleess ccoonnnneexxiioonnss ddaannss ddeess ttaabblleess d'états internes au Firewall (cid:206)Décider en fonction des états de connexions (cid:206)Exemple: vérifier que chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans l'autre sens (cid:206)LL’’applliicattiion ddes rèèglles estt possiibblle sans lliire lles AACCLL àà chaque fois (les paquets d’une connexion actives seront aacccceeppttééss)) 6 Types de filtrage Filtrage applicatif (firewall de type proxy ) (cid:132) (cid:206)Réalisé au niveau de la couche Application (cid:206)Permet d’extraire les données du pprotocole apppplicatif pour les étudier (cid:206)Chaque protocole est filtré par un processus dédié (cid:133)Limites PPrroobbllèèmmeess ddee ppeerrffoorrmmaannccee ppoouurr lleess rréésseeaauuxx àà ggrraanndd (cid:132)(cid:132) trafic 7 PProcessus dde ddéévelloppementt dde ffiillttrreess 8 Processus de développement de filtres Définition des règles de filtrage (cid:132) UUttiilliisseerr llee mmaaxxiimmuumm ddee ccrriittèèrreess ((@@IIPP, ppoorrtt, AACCKK…eettcc)) (cid:132)(cid:132) Permet de mieux lutter contre les attaques (cid:206) PPoouurr cchhaaqquuee sseerrvviiccee iinntteerrnnee eett eexxtteerrnnee (cid:132)(cid:132) Définir des règles pour autoriser les utilisateurs interne à accéder (cid:132) à des services externes Définir des règles pour autoriser des utilisateurs externes à (cid:132) accéder à des serveurs (services) sur le réseau interne PPourr unn serrviice àà auttorriiserr (cid:132)(cid:132) Accepter le flux dans les deux sens (client(cid:198)serveur et (cid:132) sseerrvveeuurr(cid:198)(cid:198)cclliieenntt)) Pour un service à bloquer (cid:132) IIll ssuuffffiitt ddee bbllooqquueerr llee fflluuxx dduu cclliieenntt(cid:198)(cid:198)sseerrvveeuurr (cid:132)(cid:132) 9 Processus de développement de filtres Exemple: (cid:132) (cid:133)(cid:133) SSooiitt llaa ppoolliittiiqquuee:: Accepter HTTP en entrée et en sortie et rien d’autre. Autoriser les utilisateurs internes à accéder aux serveurs web externes (cid:170) Autoriser les utilisateurs externes à accéder au serveur web interne (cid:170) (cid:133) Objectif : développer les règles correspondantes IInntteerrnneett Web/80 192.168.22.35 TCP Web/80 TCP Réseau Périphérique Réseau Privé 10

Description:
→L'application des règles est possible sans lire les ACL à chaque fois (les paquets .. Router(config)# access-list numéro-liste-d'accès {deny|permit} source. [wildcard mask] [log] . Match only packets with a greater port number log.
See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.